Respecter et protéger les droits fondamentaux des personnes en matière de confidentialité et de données en ligne

Pour que tout le monde puisse utiliser Internet librement, en toute sécurité et sans crainte

1. En établissant et en appliquant des cadres complets de protection des données et des droits pour protéger le droit fondamental des personnes à la vie privée dans les secteurs public et privé, qui repose sur la primauté du droit. Ces cadres doivent être applicables à toutes les données à caractère personnel, qu’elles soient fournies par l’utilisateur, observées ou supposées, et inclure:

1. Une base juridique appropriée pour le traitement des données. Lorsque le fondement juridique est le consentement, il doit être significatif, donné librement, éclairé, spécifique et sans ambiguïté.
2. Le droit d’accès aux données à caractère personnel, y compris pour obtenir une copie de toutes les données personnelles en cours de traitement par une entité, dès lors que cet accès ne porte pas atteinte aux droits et libertés des autres utilisateurs.
3. Le droit de s’opposer au traitement de données à caractère personnel ou de s’en retirer, y compris la prise de décision automatisée et le profilage individuel, sous réserve des limites explicites définies par la loi.
4. Le droit à la rectification des données personnelles inexactes et à l’effacement de données personnelles, lorsque cela n’est pas contraire au droit à la liberté d’expression et d’information ou à d’autres limites spécifiques définies par la loi.
5. Le droit à la portabilité des données, applicable aux données personnelles fournies par l’utilisateur, soit directement, soit collectées en observant les interactions de l’utilisateur avec le service ou l’appareil.
6. Le droit à un recours par le biais de mécanismes de plaintes indépendants contre les organismes publics et privés qui ne respectent pas les droits individuels relatifs aux données et à la vie privée.

(4)

2. En exigeant que les demandes gouvernementales d’accès aux communications et aux données privées soient nécessaires et proportionnées à l’objectif poursuivi, licites et soumises à une procédure régulière, respectent les normes internationales relatives aux droits de l’homme et n’exigent pas des fournisseurs de services ou des responsables du traitement de données qu’ils affaiblissent ou compromettent la sécurité de leurs produits et services. En particulier, ces demandes devraient toujours être:

1. Formulées en vertu de lois clairement définies, appliquées par une autorité judiciaire compétente et indépendante qui offre des voies de recours équitables.
2. Limitées aux cas dans lesquels il existe un intérêt public légitime défini par la loi.
3. Limitées dans le temps et leur divulgation aux personnes concernées et au public ne devrait pas être indûment restreinte.

(2)

3. En soutenant et en surveillant les droits relatifs au respect de la vie privée et aux données en ligne dans leur juridiction, notamment:

1. En réduisant leur propre collecte de données à ce qui est adéquat, pertinent et nécessaire à un intérêt public clairement spécifié.
2. En exigeant des prestataires de services publics et des acteurs privés qu’ils se conforment à la législation en vigueur et en soutenant son application rigoureuse, y compris à l’aide de sanctions administratives, par des régulateurs indépendants, compétents, habilités et dotés de ressources adéquates.
3. En obligeant les registres publics à promouvoir la transparence des accords de partage ou d’achat de données dans les secteurs public et privé à des fins de profilage, ainsi qu’en cas de violations importantes de données présentant un intérêt public, afin de permettre aux utilisateurs de savoir quand et comment leurs données pourraient être exposées.
4. En exigeant des évaluations régulières de l’impact sur la sécurité des données et la confidentialité, en assurant une surveillance indépendante et transparente des évaluations et des audits indépendants pour les secteurs public et privé et en faisant respecter les règles, le cas échéant.

(2)