Quelles sont les pratiques équitables en matière d'information ? | FIPP

Les principes de pratiques loyales en matière d'information (Fair Information Practice Principles, ou FIPP) sont un ensemble de principes relatifs à la confidentialité des données que de nombreuses organisations suivent aujourd'hui.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Liste des pratiques équitables en matière d'information
  • Décrire comment les FIPP ont été élaborées
  • Expliquer pourquoi les FIPP sont si largement référencés

Copier le lien de l'article

Que sont les principes de pratiques équitables en matière d'information (PPAI) ?

Les pratiques équitables en matière d'information, également connues sous le nom de principes de pratiques équitables en matière d'information (PPAI), constituent un ensemble de huit principes relatifs à l'utilisation et à la collecte des données, ainsi qu'à la protection de la vie privée. Ils ont été publiés en 1980 par l'Organisation de coopération et de développement économiques (OCDE) et plusieurs pays en ont accepté le principe.

Bien qu'ils ne fassent pas officiellement partie d'une législation sur la vie privée, ces principes demeurent pertinents et influents. De nombreuses organisations les utilisent comme guide pour le traitement des données personnelles. Plusieurs des principes énumérés dans les FIPP sont inclus dans d'importants cadres de protection de la vie privée tels que le Règlement général sur la protection des données (RGPD)et la loi californienne sur la protection de la vie privée des consommateurs (CCPA).

Les huit principes de la pratique de l'information équitable sont les suivants :

  1. Le principe de limitation de la collecte. La collecte de données à caractère personnel doit être limitée et toutes ces données doivent être obtenues de manière légale et loyale et, le cas échéant, avec la connaissance ou le consentement de la personne concernée.
  2. Le principe de qualité des données. Les données à caractère personnel doivent être pertinentes au regard des finalités pour lesquelles elles sont utilisées et, dans la mesure où cela est nécessaire à ces finalités, elles doivent être exactes, complètes et actualisées.
  3. Le principe de spécification des finalités. Les objectifs pour lesquels les données personnelles sont collectées doivent être spécifiés au plus tard au moment de la collecte des données et leur utilisation ultérieure doit être limitée à la réalisation de ces objectifs ou à d'autres objectifs qui ne sont pas incompatibles avec ces derniers et qui sont spécifiés à chaque changement d'objectif.
  4. Le principe de limitation de l'utilisation. Les données personnelles ne doivent pas être divulguées, mises à disposition ou utilisées d'une autre manière à des fins autres que celles spécifiées conformément au [principe de spécification de la finalité], sauf : a) avec le consentement de la personne concernée ; ou b) en vertu de la loi.
  5. Le principe des garanties de sécurité. Les données personnelles doivent être protégées par des mesures de sécurité raisonnables contre les risques tels que la perte ou l'accès non autorisé, la destruction, l'utilisation, la modification ou la divulgation des données.
  6. Le principe d'ouverture. Une politique générale de transparence concernant les développements, les pratiques et les politiques en matière de données à caractère personnel doit exister. Les moyens d'établir l'existence et la nature des données à caractère personnel, les principales finalités de leur utilisation, ainsi que l'identité et la résidence habituelle du contrôleur des données doivent être facilement accessibles.
  7. Le principe de participation individuelle. Un individu devrait avoir le droit :
    1. d'obtenir d'un contrôleur des données, ou d'une autre manière, la confirmation que le contrôleur des données dispose ou non de données le concernant ;
    2. à ce que les données le concernant lui soient communiquées dans un délai raisonnable, à un prix non excessif, le cas échéant, selon des modalités raisonnables et sous une forme aisément compréhensible pour lui ;
    3. d'être informé des raisons pour lesquelles une requête établie en vertu des alinéas a) et b) a été rejetée et de pouvoir contester ce rejet ; et
    4. de contester les données le concernant et, en cas de succès de la contestation, de faire effacer, rectifier, compléter ou modifier ces données.
  8. Le principe de responsabilité. Un contrôleur de données sera tenu comme responsable du respect des mesures qui donnent effet aux principes énoncés ci-dessus.

Comment les pratiques équitables en matière d'information se sont-elles développées ?

Les FIPP telles qu'elles se présentent actuellement sont basées sur les recommandations proposées par un comité consultatif du ministère américain de la santé, de l'éducation et du bien-être en 1973. Le rapport de ce comité indiquait que les « mesures de protection de la vie privée fondées sur notre concept de mutualité dans la tenue des dossiers exigeraient l'adhésion des organisations chargées de la tenue des dossiers à certains principes fondamentaux de la pratique loyale de l'information ». Il décrivait ensuite plusieurs principes de protection des données.

En 1980, l'OCDE a élargi ces recommandations et les a divisées en huit FIPP énumérées ci-dessus. Depuis lors, les FIPP ont été référencées à de nombreuses reprises, notamment aux États-Unis. Elles continuent de constituer une partie importante des lignes directrices en matière de confidentialité et de protection des données.

Les pratiques équitables en matière d'information font-elles partie d'une législation sur la protection de la vie privée ?

Les FIPP ne font partie d'aucune exigence officielle ou légale. Cependant, ils ont servi de base à plusieurs lignes directrices différentes en matière de protection de la vie privée. Ils reflètent également de nombreux principes de protection de la vie privée largement acceptés et figurant dans d'autres cadres officiels de protection de la vie privée.

Par exemple, le principe de participation individuelle (n°7) énumère un certain nombre de droits que les personnes devraient avoir. Le CCPA a codifié certains de ces droits dans la loi : il inclut le « droit de savoir » qui ressemble beaucoup à ce qui est décrit dans les parties a) et b) du principe de participation individuelle. Le RGPD inclut également un « droit à l'effacement », similaire à la possibilité de " faire effacer des données " comme décrit dans la partie d) du principe de participation individuelle.

Autre exemple, le principe de qualité des données de la FIPP a son pendant dans le RGPD : L'article 5 exige que les données à caractère personnel soient « exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, au regard des finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai. »

Il est important de noter que ces cadres de protection de la vie privée ne correspondent pas exactement aux FIPP dans leurs descriptions et leurs exigences. Les organisations qui souhaitent se conformer au RGPD, au CCPA ou à toute autre législation relative à la protection de la vie privée doivent s'assurer qu'elles respectent les exigences de ces textes de loi spécifiques, et pas seulement les FIPP.

Cloudflare respecte-t-il les pratiques équitables en matière d'information ?

Tous les employés de Cloudflare sont tenus de suivre une formation sur la protection des données qui leur présente les pratiques équitables en matière d'information, en plus du RGPD et d'autres lois importantes sur la protection des données. En outre, Cloudflare a publié un certain nombre de produits (dont certains sont gratuits) pour améliorer la confidentialité des utilisateurs. Ces produits comprennent :

Pour en savoir plus sur l'engagement de Cloudflare en matière de confidentialité des données, lisez les dernières mises à jour sur le blog de Cloudflare.