Michael Pisa
Center for Global Development
Ugonma Nwankwo
Center for Global Development
Pam Dixon
World Privacy Forum
Michael Pisa
Center for Global Development
Ugonma Nwankwo
Center for Global Development
Pam Dixon
World Privacy Forum
Pour renforcer la confiance dans les outils et systèmes numériques – et les administrations et entreprises qui les utilisent – les lois et réglementations sur les données doivent être bien conçues, adaptées au contexte local et mises en application de manière efficace et systématique. Les données récentes laissent penser que dans bon nombre de pays, les réglementations et les systèmes de gouvernance destinés à se protéger contre l’utilisation abusive des données à caractère personnel ne respectent pas ces normes, ce qui risque de saper la confiance de la population dans les avantages de la transformation numérique. À l’échelle mondiale, les pays à faible revenu et à revenu intermédiaire ont été en grande partie exclus des débats sur les stratégies en matière de données et ont peu de poids pour influencer la gestion des flux transfrontières de données. Les acteurs du développement devraient soutenir les efforts visant à renforcer la mise en œuvre des normes actuelles en matière de protection des données et à les harmoniser tout en reconnaissant que les pays en développement ont des ressources et des besoins différents, et mieux mesurer l’impact de ces lois sur le développement économique et numérique.
Durant la dernière décennie, l’adoption de lois relatives à la protection des données s’est considérablement accélérée dans les pays à faible revenu et à revenu intermédiaire du fait des inquiétudes croissantes suscitées par l’utilisation abusive des données.
Malgré cette évolution, il subsiste des interrogations quant aux conséquences pour l’économie, la société et les droits humains d’une mise en œuvre insuffisante des cadres relatifs à la protection des données.
Les acteurs du développement peuvent favoriser une meilleure protection des données en prenant des initiatives pour harmoniser les stratégies nationales en la matière par le biais de processus inclusifs au niveau mondial et régional et en soutenant les efforts des pays à revenu faible ou intermédiaire pour renforcer leurs capacités de réglementation et d’application de la loi.
Les acteurs internationaux devraient promouvoir une approche des flux de données transfrontières qui garantisse la protection des données tout en laissant les pouvoirs publics concevoir des cadres répondant à leurs propres besoins, priorités et capacités.
Face au rôle croissant des données et outils numériques dans tous les compartiments de la vie quotidienne, il importe de plus en plus de disposer de règles claires et efficaces régissant la manière dont les différents acteurs peuvent utiliser les données à caractère personnel tout au long de leur cycle de vie et dans les différents écosystèmes de données. Pour les pouvoirs publics, l’enjeu principal consiste à établir des règles qui protègent les citoyens contre tout préjudice sans freiner les innovations utiles.
Dans bon nombre de pays, la mise en place d’un régime de protection des données est une étape fondamentale pour définir une stratégie plus globale de la gouvernance numérique moderne. Les choix qu’opèrent les responsables publics s’agissant de l’élaboration et de l’application des lois sur la protection des données jettent les bases de la stratégie des pouvoirs publics et des citoyens à l’égard des écosystèmes numériques et des données. Ils ont donc des conséquences directes sur le développement économique.
Les lois et réglementations en matière de protection des données peuvent renforcer la confiance dans des outils et systèmes numériques promettant des gains d’efficience et la création de valeur, en établissant des droits qui protègent les citoyens contre l’utilisation abusive de leurs données personnelles et des obligations qui imposent aux organisations une utilisation équitable, transparente et responsable des données. En théorie, cette confiance accrue devrait se traduire par une meilleure acceptation des services faisant appel au partage et à l’utilisation des données, et par un plus grand nombre d’investissements dans les ressources et compétences nécessaires pour faire progresser la transformation numérique d’un pays (Banque mondiale, 2021[1] ; Forum économique mondial, 2019[2] ; Chakravorti et Chaturvedi, 2017[3]). Néanmoins, les premières observations laissent penser que, dans bon nombre de pays ayant adopté des lois sur la protection des données, leur application reste lacunaire, les organismes de réglementation manquent d’indépendance et les stratégies d’action sont mal conçues. L’absence de normes mondiales uniformes et inclusives en matière de protection des données aggrave les difficultés, en particulier dans les pays à faible revenu ou à revenu intermédiaire qui n’ont guère participé aux discussions sur les stratégies en matière de données, notamment celles qui portaient sur les cadres juridiques pour les échanges transfrontières de données, qui, au niveau mondial, se sont cantonnées aux pays du G20.
Les premières observations laissent penser que, dans bon nombre de pays ayant adopté des lois sur la protection des données, leur application reste lacunaire, les organismes de réglementation manquent d’indépendance et les stratégies d’action sont mal conçues
Ces deux dernières années, plusieurs tables rondes et entretiens ont été organisés avec des spécialistes à la fois des stratégies en matière de données et du développement afin de mieux comprendre le lien entre les cadres de protection des données et les résultats économiques, en particulier dans les pays à faible revenu ou à revenu intermédiaire. Ces experts ont noté avec satisfaction que les pays ont été de plus en plus nombreux, ces dernières années, à adopter des régimes de protection des données, mais ont également exprimé leur préoccupation quant à leur efficacité dans la pratique, aux défis que des pouvoirs publics aux ressources limitées doivent relever pour les mettre en œuvre et aux conséquences négatives que pourrait avoir une mise en œuvre inefficace.
Des règles en matière de protection des données dont la conception ou l’application sont inadaptées peuvent freiner le développement économique de trois façons, que l’on peut résumer à grands traits par une réglementation excessive, une réglementation insuffisante ou une réglementation inappropriée en termes d’objet et de modalités.
Réglementation insuffisante : Même lorsqu’il existe des lois sur la protection des données ce qui est exprimé « dans les textes » souvent ne se traduit pas par des mesures concrètes « dans les faits » (Pisa et al., 2020[4]). Cette situation affaiblit le niveau de protection assuré et sape la confiance dans l’utilisation et le partage de données que les lois sur la protection des données sont censées instaurer. Elle est également source d’incertitude sur le plan réglementaire, ce qui peut freiner des innovations utiles en matière de données dans les secteurs public et privé (Mungan, 2019[5]), et la croissance économique qui pourrait en résulter.
Réglementation excessive : Comme dans d’autres secteurs, un excès de réglementation – se traduisant par des coûts de mise en conformité élevés et disproportionnés par rapport à l’amélioration des résultats escomptés – risque de freiner l’innovation en créant une désincitation à l’investissement qui n’a pas lieu d’être. Ces coûts sont particulièrement préjudiciables pour les petites et moyennes entreprises, qui n’ont généralement pas d’équipes juridiques dotées de ressources suffisantes pour faire face à des exigences complexes en matière de respect des règles (Digital Competition Expert Panel, 2021[6] ; Voss, 2021[7]).
Réglementation inappropriée en termes d’objet et de modalités : Selon plusieurs théoriciens, les démarches actuelles en matière de protection des données accordent trop de poids à la protection contre les préjudices personnels et pas assez aux préjudices collectifs, ce qui ne cadre pas avec le recours accru aux algorithmes d’apprentissage automatique qui extraient des informations à partir de données collectives (Tisné, 2020[8] ; Moerel et Prins, 2016[9]). Cette focalisation excessive sur la protection contre les préjudices personnels se traduit par un recours excessif au consentement éclairé en tant que fondement même du traitement des données, qui fait généralement peser une charge déraisonnable sur les individus et est dénué de sens lorsque les intéressés ne savent pas comment seront utilisées leurs données (Medine et Murthy, 2020[10] ; Selinger et Hartzog, 2020[11]).
En sapant la confiance des individus dans la manière dont leurs données sont utilisées et en créant des obstacles à l’innovation responsable, chacune de ces démarches réglementaires risque d’entraîner une baisse des investissements dans les outils numériques et les services fondés sur les données. Les données empiriques à ce propos sont toutefois insuffisantes. Pour concevoir des stratégies efficaces, il est essentiel de mieux comprendre les relations causales entre les réglementations en matière de données et le développement numérique et économique d’un pays. Ainsi, des enquêtes auprès des entreprises permettraient de déterminer dans quelle mesure les coûts élevés d’application des règles ou l’incertitude sur le plan réglementaire peuvent freiner les investissements.
Les approches actuelles relatives à la protection des données remontent à la création des Pratiques équitables en matière d’information dans les années 70 aux États-Unis et à la codification et au développement de ces principes par l’OCDE dans ses Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, publiées en 1980. Sur la base de ces principes et en s’en inspirant, des cadres nationaux de protection des données se sont imposés lentement, mais régulièrement dans les pays les plus riches (Gellman, 2014[12]).
Au cours des deux dernières décennies, le nombre de pays ayant adopté une législation en matière de protection des données a fortement augmenté. Depuis 2010, 64 pays – pour la plupart situés en Afrique, en Asie et en Amérique latine et dont plus de 70 % appartiennent à la catégorie des pays à revenu intermédiaire de la tranche inférieure – ont adopté de nouvelles lois en matière de protection des données, ce qui porte à 146 le nombre total de pays où de telles lois sont en vigueur (Graphique 29.1).
Plusieurs facteurs favorisent cette progression récente et rapide des cadres nationaux de protection des données, notamment une prise de conscience accrue des risques d’utilisation abusive des données ; la volonté de créer un cadre propice à une utilisation et un partage responsables des données ; la nécessité de respecter les exigences des partenaires au développement internationaux ; et, peut-être surtout, l’effet catalyseur du Règlement général sur la protection des données (RGPD) de l’Union européenne (UE), qui a été adopté en 2016 et est entré en vigueur en 2018. Sur plus de 60 pays ayant adopté de nouvelles lois sur la protection des données durant la dernière décennie, presque tous ont calqué l’intégralité ou une partie de leur approche sur le RGPD et sur la directive européenne de 1995 sur la protection des données (DPD).
Le RGPD met en place un modèle de protection des données à caractère personnel plus rigoureux qu’auparavant, et modifie ainsi le paysage mondial de la protection des données en faisant de l’UE le chef de file en la matière. Le règlement prévoit des mécanismes pour renforcer le contrôle des individus sur la manière dont leurs données sont utilisées, accroître la redevabilité attendue des responsables du traitement des données et donner plus d’importance aux enjeux relatifs au non-respect des règles en infligeant des amendes et pénalités plus élevées. En revanche, les États-Unis, pays qui concentre les plus grandes entreprises technologiques au monde, ont adopté une approche sectorielle et peu interventionniste de la réglementation en matière d’utilisation des données à caractère personnel.
L’influence du RGPD et de la DPD reflète également la portée extraterritoriale du processus d’adéquation de l’UE1, qui demande à la Commission européenne de déterminer, à titre de fondement pour le transfert de données, si un pays tiers « offre des garanties pour assurer un niveau adéquat de protection substantiellement équivalent à celui qui est garanti dans l’Union (Parlement européen, 2016[14]), en particulier quand les données à caractère personnel sont traitées dans un ou plusieurs secteurs spécifiques ». Les entreprises situées dans des pays qui ont obtenu une décision d’adéquation favorable sont confrontées à des obstacles moins élevés dans l’exercice d’activités commerciales avec des citoyens de l’UE, l’obtention d’une décision d’adéquation leur conférant un avantage concurrentiel important dans l’économie numérique mondiale. Ainsi, selon une étude publiée avant l’obtention par le Royaume-Uni de la décision d’adéquation au RGPD, son refus aurait coûté aux entreprises britanniques entre 1 milliard GBP et 1.6 milliard GBP en raison des obligations supplémentaires relatives au respect des règles (McCann, Patel et Ruiz, 2020[15]).
Bien que les pays soient de plus en plus nombreux à avoir intégré des volets du RGPD dans leur législation, les observations factuelles donnent à penser que la plupart d’entre eux ont du mal à le mettre en œuvre de façon effective en raison de son ampleur et de sa complexité (Voss, 2021[7]). Même les États membres de l’UE, qui avaient près de 25 ans d’expérience de la mise en œuvre d’un cadre similaire relatif à la DPD, ont eu des difficultés à mettre en œuvre la loi actualisée (Commission européenne, 2020[16]). Le défi est encore plus grand pour les pays où les ressources font cruellement défaut, qui ont une réserve d’experts à consulter plus réduite ou qui ont moins d’expérience de la mise en œuvre d’un cadre global pour la protection des données.
Les autorités chargées de la protection des données, qui sont les institutions responsables de l’interprétation et de l’application des lois en matière de protection des données dans la plupart des pays ayant mis en place un cadre global de protection des données, manquent souvent d’indépendance fonctionnelle par rapport au pouvoir exécutif ou aux autres ministères, en particulier dans les pays à faible revenu, si bien qu’il leur est difficile de résister aux influences politiques ou de mettre d’autres acteurs de la vie publique face à leurs responsabilités (Davis, 2021[17]). On observe également des disparités importantes entre les régions et les classifications économiques en termes de niveau de ressources humaines et financières dont disposent les organismes chargés de la protection des données (Graphique 29.2) (Fazlioglu, 2018[18]).
Être conscient des difficultés posées par la mise en œuvre du cadre du RGPD ne revient pas à cautionner le relâchement des règles existantes ni à adopter une approche radicalement différente. En effet, les experts qui ont participé aux tables rondes ont été presque unanimes dans leur soutien aux principes qui sous-tendent le RGPD et ont estimé que les pays devraient adopter une stratégie globale et fondée sur les droits en matière de protection des données à caractère personnel (plutôt qu’une démarche sectorielle ou visant à parvenir à un équilibre entre les intérêts économiques) (Pisa et Nwankwo, 2021[19]).
Plusieurs experts ont cependant exprimé leur insatisfaction à l’égard des dispositions actuelles régissant les flux transfrontières de données qui, selon eux, ont indûment restreint les choix de politique intérieure. C’est le cas, notamment, du processus d’adéquation du RGPD qu’ils jugent excessivement opaque et guidé par des considérations d’ordre économique et politique plutôt que par le caractère approprié du régime de protection des données d’un pays, les pays dont les marchés sont plus modestes ayant moins de chances d’obtenir une décision d’adéquation (Pisa et Nwankwo, 2021[19]).
Le manque de coordination des règlements en matière de données à l’échelle mondiale et régionale est plus préjudiciable pour les pays à faible revenu ou à revenu intermédiaire qui, seuls, n’ont pas le poids économique nécessaire pour influer à la fois sur les pratiques des grandes entreprises technologiques dominant les flux de données mondiaux et sur les conditions de gouvernance des flux transfrontières de données aux termes des accords bilatéraux avec les pays plus riches.
La communauté internationale du développement et les pays à revenu élevé peuvent promouvoir des règles du jeu équitables en matière de stratégies relatives à la protection des données et aider les pays à faible revenu et à revenu intermédiaire à progresser sur la voie de la transformation numérique selon cinq axes principaux :
1. Consacrer davantage de ressources au renforcement des dispositifs nationaux pour la gouvernance et la protection des données en fonction des besoins et des capacités des pays. Les organisations pour le développement devraient collaborer avec les pays partenaires pour veiller à ce que leurs cadres pour la gouvernance et la protection des données soutiennent la transformation numérique. À l’instar du fonds Global Data Facility récemment annoncé par la Banque mondiale, les instruments de financement devraient avoir pour objectif principal d’améliorer les modalités de mise en œuvre et de respect de ces cadres afin de favoriser une utilisation accrue et plus efficace des données (Hammer et al., 2021[20]).
2. Promouvoir une démarche commune, transparente et flexible pour établir la légalité des flux transfrontières de données. Les pays étant de plus en plus nombreux à se doter de mécanismes propres pour déterminer la légalité des flux transfrontières de données, il existe un risque que la prolifération des régimes nationaux en matière de protection des données fragmente davantage l’économie numérique mondiale.
Dans un premier temps, les juridictions devraient faire preuve de transparence dans la prise de décisions d’adéquation. En outre, les pays devraient s’entendre sur un ensemble de normes régissant les flux transfrontières de données qui soient suffisamment solides pour garantir une protection élevée des données tout en conservant la souplesse nécessaire aux pouvoirs publics pour élaborer des cadres répondant à leurs propres besoins, priorités et capacités. La Convention 108+ du Conseil de l’Europe (Conseil de l’Europe, 2018[21]), seul et unique instrument international multilatéral contraignant en matière de protection du droit à la vie privée et des données à caractère personnel, constitue un modèle de ce type de disposition à la fois orientée sur les résultats et flexible, mais les pouvoirs publics sont plus enclins à ratifier un cadre qu’ils ont contribué à élaborer.
3. Encourager les initiatives régionales et mondiales visant à harmoniser les stratégies nationales en matière de données avec la participation réelle des pays à faible revenu et à revenu intermédiaire. Si les pays en développement participent à l’élaboration des normes en matière de données qu’ils sont censés respecter, ils seront plus enclins à les mettre en œuvre. De nouvelles institutions pourraient être nécessaires pour garantir l’inclusivité des processus de fixation des normes, car « les cadres institutionnels existants au niveau international ne sont pas adaptés aux caractéristiques et aux besoins particuliers de la gouvernance mondiale des données ». (CNUCED, 2021[22]).
4. Définir et mettre au point de meilleurs indicateurs des stratégies en matière de données. Aujourd’hui, la plupart des indicateurs transnationaux sur les stratégies en matière de protection des données concernent exclusivement la législation (Greenleaf, 2019[23] ; Chen, 2020[24] ; CNUCED, s.d.[13]). De nouveaux indicateurs sont nécessaires pour mieux comprendre le lien entre les stratégies en matière de protection des données et les résultats économiques, afin notamment de déterminer dans quelle mesure les dispositifs de protection des données sont mis en œuvre, l’effet de ces mesures sur la protection des données, les résultats des investissements ainsi que la valeur créée par les principaux écosystèmes de données, les flux transfrontières de données et, de manière plus générale, l’innovation fondée sur les données.
5. Encourager l’élaboration d’approches qui ne se fondent pas principalement sur le consentement pour la protection des données à caractère personnel. Mettre l’accent sur le consentement personnel fait peser un fardeau déraisonnable et impraticable sur les individus. En outre, dans les écosystèmes de données complexes, l’obtention du consentement n’est pas toujours possible. Les responsables de l’action publique devraient donc envisager des moyens pour tester et mesurer l’efficacité des différents modèles de protection des données à caractère personnel et contrôler leur respect, notamment la vérification de la finalité légitime, les fiducies et trusts de données et la gestion participative des données (Medine et Murthy, 2020[10] ; Ada Lovelace Institute, 2021[25] ; Hardinges et al., 2019[26] ; Wylie et McDonald, 2018[27] ; Moerel et Prins, 2016[9]).
[25] Ada Lovelace Institute (2021), Participatory Data Stewardship: A Framework for Involving People in the Use of Data, Ada Lovelace Institute, Londres, https://www.adalovelaceinstitute.org/report/participatory-data-stewardship (consulté le 3 novembre 2021).
[1] Banque mondiale (2021), World Development Report 2021: Data for Better Lives, Banque mondiale, Washington, D.C., https://doi.org/10.1596/978-1-4648-1600-0 (consulté le 3 novembre 2021).
[3] Chakravorti, B. et R. Chaturvedi (2017), Digital Planet 2017: How Competitiveness and Trust in Digital Economies Vary Across the World, The Fletcher School, Tufts University, Medford, MA, https://sites.tufts.edu/digitalplanet/files/2020/03/Digital_Planet_2017_FINAL.pdf.
[24] Chen, R. (2020), « Mapping data governance legal frameworks around the world: Findings from the Global Data Regulation Diagnostic », Document de travail de recherche sur les politiques, n° 9615, Banque mondiale, Washington, D.C., https://openknowledge.worldbank.org/handle/10986/35410 (consulté le 13 septembre 2021).
[22] CNUCED (2021), Rapport sur l’économie numérique 2021 – Flux de données transfrontières et développement : Le numérique, au profit de qui ?, Conférence des Nations Unies sur le commerce et le développement, Genève, https://unctad.org/system/files/official-document/der2021_overview_fr_0.pdf.
[13] CNUCED (s.d.), « Data protection and privacy legislation worldwide », page web, https://unctad.org/page/data-protection-and-privacy-legislation-worldwide (consulté le 17 novembre 2021).
[16] Commission européenne (2020), La protection des données : un pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition numérique - deux années d’application du règlement général sur la protection des données, COM/2020/264 final, Commission européenne, Bruxelles, https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A52020DC0264 (consulté le 3 novembre 2021).
[21] Conseil de l’Europe (2018), Convention 108+ : Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, Publications du Conseil de l’Europe, https://www.coe.int/fr/web/data-protection/convention108/modernised.
[17] Davis, T. (2021), Data Protection in Africa: A Look at OGP Member Progress, Partenariat pour un gouvernement ouvert, Washington, D.C., https://www.opengovpartnership.org/wp-content/uploads/2021/08/OGP-Data-Protection-Report.pdf.
[6] Digital Competition Expert Panel (2021), Unlocking digital competition, Digital Competition Expert Panel, Londres, https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/785547/unlocking_digital_competition_furman_review_web.pdf.
[18] Fazlioglu, M. (2018), How DPA Budget and Staffing Levels Mirror National Differences in GDP and Population, International Association of Privacy Professionals, Portsmouth, NH, https://iapp.org/media/pdf/resource_center/DPA-Budget-Staffing-Whitepaper-FINAL.pdf.
[2] Forum économique mondial (2019), Data Collaboration for the Common Good: Enabling Trust and Innovation Through Public-Private Partnerships, Forum économique mondial, Genève, https://www3.weforum.org/docs/WEF_Data_Collaboration_for_the_Common_Good.pdf.
[12] Gellman, R. (2014), « Willis Ware’s lasting contribution to privacy: Fair information practices », IEEE Security & Privacy, vol. 12/4, pp. 51-54, https://doi.org/10.1109/msp.2014.82.
[23] Greenleaf, G. (2019), « Global tables of data privacy laws and bills (6ème édition, janvier 2019) », Privacy Laws & Business International Report, Supplement to No. 157, https://ssrn.com/abstract=3380794 (consulté le 3 novembre 2021).
[20] Hammer, C. et al. (2021), « Putting data and innovation to work for the SDGs: The Data Innovation Fund », Blog de données de la Banque mondiale, https://blogs.worldbank.org/opendata/putting-data-and-innovation-work-sdgs-data-innovation-fund (consulté le 3 novembre 2021).
[26] Hardinges, J. et al. (2019), Data Trusts: Lessons from Three Pilots, Open Data Institute, Londres, https://theodi.org/article/odi-data-trusts-report (consulté le 3 novembre 2021).
[15] McCann, D., O. Patel et J. Ruiz (2020), The Cost of Data Inadequacy, New Economics Foundation/UCL Europe Institute, Londres, https://neweconomics.org/2020/11/the-cost-of-data-inadequacy (consulté le 3 novembre 2021).
[10] Medine, D. et G. Murthy (2020), Making Data Work for the Poor: New Approaches to Data Protection and Privacy, Consultative Group to Assist the Poor, Washington, DC, https://www.cgap.org/sites/default/files/publications/2020_01_Focus_Note_Making_Data_Work_for_Poor_0.pdf.
[9] Moerel, L. et C. Prins (2016), « Privacy for the homo digitalis: Proposal for a new regulatory framework for data protection in the light of big data and the Internet of Things », Cybersecurity, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2784123 (consulté le 3 novembre 2021).
[5] Mungan, M. (2019), Seven Costs of Data Regulation Uncertainty, Data Catalyst, Washington, DC, https://datacatalyst.org/reports/seven-costs-of-data-regulation-uncertainty (consulté le 3 novembre 2021).
[14] Parlement européen (2016), Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE), Journal officiel de l’Union européenne, L 119, 4.5.2016, pp. 1-88, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679 (consulté le 17 novembre 2021).
[4] Pisa, M. et al. (2020), « Governing data for development: Trends, challenges, and opportunities », CDG Policy Papers, n° 190, Center for Global Development, Washington, D.C., https://www.cgdev.org/sites/default/files/governing-data-development-trends-challenges-and-opportunities.pdf.
[19] Pisa, M. et U. Nwankwo (2021), Are Current Models of Data Protection Fit for Purpose? Understanding the Consequences for Economic Development, Center for Global Development, Washington, D.C., https://www.cgdev.org/publication/are-current-models-data-protection-fit-purpose-understanding-consequences-economic (consulté le 3 novembre 2021).
[11] Selinger, E. et W. Hartzog (2020), « The inconsentability of facial surveillance », Loyola Law Review, vol. 66/101, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3557508 (consulté le 3 novembre 2021).
[8] Tisné, M. (2020), The Data Delusion: Protecting Individual Data is Not Enough When the Harm is Collective, publié sous la direction de Marietje Schaake, https://fsi-live.s3.us-west-1.amazonaws.com/s3fs-public/the_data_delusion_formatted-v3.pdf.
[7] Voss, A. (2021), Fixing the GDPR: Towards Version 2.0, Groupe PPE du Parlement européen, https://www.axel-voss-europa.de/wp-content/uploads/2021/05/GDPR-2.0-ENG.pdf.
[27] Wylie, B. et S. McDonald (2018), « What Is a data trust? », Centre pour l’innovation dans la gouvernance internationale, Waterloo, Ontario, https://www.cigionline.org/articles/what-data-trust (consulté le 3 novembre 2021).
← 1. Le processus d’adéquation de l’UE, décrit à l’article 44 du RGPD, confère à la Commission européenne le pouvoir de décider si un pays hors de l’UE assure un niveau de protection des données « substantiellement équivalent » à celui garanti au sein de l’UE. Si le niveau de protection d’un pays tiers est jugé adéquat, les données à caractère personnel peuvent circuler entre l’UE et un pays tiers sans qu’il soit nécessaire d’instaurer des garanties supplémentaires. Lorsqu’elle évalue le caractère adéquat de la protection dans un pays tiers, la Commission tient compte de plusieurs facteurs, notamment : l’état de droit, le respect des droits de l’homme et des libertés fondamentales, le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes et les engagements internationaux souscrits par le pays tiers. En l’absence d’une telle décision, le responsable du traitement ou le sous-traitant doit prendre des mesures pour compenser le manque de protection des données dans le pays tiers par des règles d’entreprise contraignantes ou des clauses contractuelles types.