Contact

Rétablissement des Liens Familiaux: protéger les données, protéger les personnes

Février 2021

Frauke Weber, Directrice adjointe, Service de recherche, Croix-Rouge allemande

Nicole Batch, Responsable Protection, Programmes de soutien à la migration, Croix-Rouge australienne 

Sarah Safaa Dwidar, Conseillère juridique à la protection des données, CICR


Résumé

L’importance de la protection des données pour l’action du Mouvement international de la Croix-Rouge et du Croissant-Rouge a été récemment mise en évidence par l’adoption, en décembre 2019, d’une résolution de la XXXIIIe Conférence internationale de la Croix-Rouge et du Croissant-Rouge. Intitulée « Rétablir les liens familiaux tout en respectant la vie privée, y compris en ce qui concerne la protection des données personnelles », la résolution 4 de la Conférence souligne la nécessité d’un dialogue constant entre les États et les Sociétés nationales, afin de garantir que les transferts transfrontaliers de données s’opèrent dans le respect des normes les plus élevées de protection des données. Cette exigence tient à la nature sensible des données personnelles collectées et traitées dans le cadre des recherches de personnes séparées de leur famille ou portées disparues. Le présent article examine cette question à la lumière d’exemples provenant d’Allemagne et d’Australie, afin de montrer les progrès pouvant être accomplis ainsi que les accords pouvant être conclus avec les États pour faciliter cette action importante du Mouvement.

Pourquoi la protection des données revêt-elle tant d’importance

dans le domaine du rétablissement des liens familiaux ?

Chaque année, le Mouvement international de la Croix-Rouge et du Croissant-Rouge (le Mouvement) aide – par le biais du Réseau mondial des liens familiaux – des milliers de personnes à savoir ce qu’il est advenu d’un proche disparu. Pour retrouver une personne dont la famille est sans nouvelles, la Société nationale ou la délégation du CICR doit obtenir auprès du membre de la famille qui la sollicite des informations sur la personne recherchée et sur les circonstances ayant conduit à la séparation ou disparition. Les informations confiées au Réseau des liens familiaux sont des données personnelles très sensibles, dont toute utilisation abusive peut mettre les membres de la famille en danger, en particulier lorsque les personnes recherchées appartiennent à des groupes vulnérables (mineurs, migrants ou détenus, notamment).

Pour mener des recherches sur des personnes disparues dans d’autres pays, des transferts transfrontaliers de données à caractère personnel sont nécessaires, mais de nombreux risques accompagnent de telles transmissions d’informations. De fait, les données personnelles sont généralement partagées avec les autres composantes du Mouvement, avec des organisations internationales ou avec des organisations non gouvernementales locales. Si cela est jugé nécessaire, certaines données-clés concernant la personne dont la famille est sans nouvelles sont également communiquées aux autorités publiques compétentes pour faciliter les recherches (en permettant, par exemple, aux autorités de vérifier si la personne concernée est enregistrée dans les bases de données de l’État). Il est donc capital qu’un niveau de protection adéquat des données personnelles soit assuré, et que l’engagement soit pris d’utiliser les données à des fins exclusivement humanitaires. Des mesures en ce sens doivent être mises en œuvre par les composantes du Mouvement impliquées ainsi que par les autorités publiques compétentes et les tierces parties, au niveau national et international, qui reçoivent des données personnelles partagées par le Mouvement.

Le Code de conduite du Mouvement relatif à la protection des données à caractère personnel pour les activités de rétablissement des liens familiaux (RLF) tient compte de ces risques. Il énonce un ensemble de principes devant être respectés lors du traitement des données personnelles nécessaires aux activités de RLF. Toutefois, le respect du Code de conduite ne suffit pas : les Sociétés de la Croix-Rouge et du Croissant-Rouge doivent également se conformer à la législation nationale applicable en matière de protection des données dans leurs pays respectifs.

Dialogue entre Sociétés nationales et pouvoirs publics :

les deux parties sont gagnantes

Deux tiers des pays disposent aujourd’hui de lois sur la protection des données[1]. Le tiers restant offre aux Sociétés nationales une occasion immédiate d’engager un dialogue avec les autorités publiques de leurs pays respectifs pour contribuer à garantir que toute future loi nationale relative à la protection des données viendra faciliter – et non entraver – les activités de RLF. Dans les pays qui disposent déjà d’une législation sur la protection des données, le dialogue avec les autorités publiques est tout aussi important. En effet, la Société nationale peut ainsi plaider en faveur de règles claires qui visent à donner au Mouvement la possibilité de mener ses activités de RLF en respectant la loi – ainsi que les mandats et les Principes fondamentaux du Mouvement –- et en subissant le moins de restrictions possible.[2]

En 2019, la XXXIIIe Conférence internationale de la Croix-Rouge et du Croissant-Rouge a adopté une résolution – intitulée « Rétablir les liens familiaux tout en respectant la vie privée, y compris en ce qui concerne la protection des données personnelles » – qui constitue une base solide sur laquelle le dialogue nécessaire peut s’établir. En outre, cette résolution montre que les États sont déterminés à dialoguer avec le Mouvement sur cette question capitale.

Pour capitaliser sur ces acquis, les Sociétés nationales devraient s’engager auprès des autorités publiques en vue de l’élaboration d’une législation sur la protection des données ou de l’interprétation de la législation déjà existante. Par exemple, les normes relatives à la protection des données exigent que tout traitement des données personnelles soit « licite », en d’autres termes qu’il repose sur une base juridique. La plupart des lois sur la protection des données considèrent l’« intérêt public » comme une base juridique à laquelle certaines entités chargées du traitement des données peuvent possiblement se référer. Il est très important que les motifs d’« intérêt public » constituent une base légale applicable non seulement aux États, lors du traitement de données à caractère personnel, mais aussi aux Sociétés nationales, lorsqu’elles agissent en tant qu’auxiliaires des pouvoirs publics dans le domaine humanitaire.[3] Certains cadres juridiques nationaux, régionaux et internationaux reconnaissent déjà la nécessité pour les acteurs humanitaires (praticiens du RLF inclus) de se référer à l’« intérêt public » en tant que base juridique .[4]

Comme souligné plus haut, le dialogue entre les Sociétés nationales et les autorités publiques pertinentes au sujet de la protection des données dans le contexte du RLF reste essentiel. L’objectif premier est de « ne pas nuire » aux bénéficiaires des activités de RLF lors du traitement de leurs données personnelles et de parvenir ainsi à préserver leur confiance envers le Mouvement.

Protection des données : exemples de réglementations à visées humanitaires

En Allemagne, par exemple, une nouvelle loi sur la protection des données, adoptée en 2009, concerne spécifiquement le Service de recherche de la Société nationale. Aux termes de la « Loi fédérale sur la protection des données pour le Service de recherche de la Croix-Rouge allemande », l’élucidation du sort des personnes disparues et la détermination du lieu où elles se trouvent, ainsi que le rétablissement et le maintien du contact entre les membres des familles séparées, sont des tâches qui incombent à la Société nationale. Il est également précisé dans la loi que les transferts transfrontaliers de données personnelles requis sont autorisés. Cette loi est le fruit d’un dialogue permanent et constructif entre la Croix-Rouge allemande, l’autorité nationale de contrôle de la protection des données et le gouvernement

La Croix-Rouge australienne s’est elle aussi engagée de longue date dans des négociations avec son gouvernement afin de résoudre les problèmes de conformité apparus entre, d’une part, la législation nationale sur la protection de la vie privée et, d’autre part, les objectifs humanitaires des recherches menées à la demande des familles de personnes disparues. La collaboration avec le Commissaire fédéral à la protection de la vie privée a conduit à l’insertion, dans la Loi nationale sur la protection de la vie privée, d’une règle portant spécifiquement sur les données relatives aux personnes disparues (Privacy Persons Reported as Missing) Rule 2014). Dans cette règle, la Croix-Rouge australienne est désignée en tant qu’« organisme de recherches » des personnes portées disparues, au même titre que les unités spécialisées existant au sein des différentes forces de police. Cela confirme que la Société nationale est une institution reconnue qui joue un rôle spécifique en matière de recherches de disparus. Le but est d’aider au regroupement des familles séparées et de permettre à la Société nationale de divulguer comme elle l’entend les informations relatives aux personnes disparues qui ne sont pas en mesure de donner elles-mêmes leur consentement. Cette règle illustre la coopération entre les États et les composantes du Mouvement, telle que la résolution 4 l’a envisagée pour faciliter l’accès aux données à caractère personnel qui sont requises pour faire la lumière sur le sort des personnes disparues et déterminer le lieu où elles se trouvent.[5]

Les efforts en vue de l’élaboration de cadres juridiques nationaux de protection des données – tels que ceux de l’Allemagne et de l’Australie – doivent aujourd’hui se poursuivre pour aider les membres des familles séparées à retrouver les proches dont ils sont sans nouvelles, et pour garantir qu’aucun traitement de leurs données personnelles ne contribuera à accroître les risques auxquels ils sont exposés.


[1] CNUCED/UNCTAD, sur https://unctad.org/page/data-protection-and-privacy-legislation-worldwide

[2] Voir le paragraphe 9 de la résolution 4.

[3] Voir les paragraphes 3 et 6 de la résolution 4.

[4] Voir Union européenne (UE), Règlement général sur la protection des données (RGPD) du 27 avril 206, notamment Considérant 46, sur https://gdpr-text.com/fr/read/recital-46/ et Considérant 112, sur https://gdpr-text.com/fr/read/recital-112/ ; Série des traités du Conseil de l’Europe n° 223, Rapport explicatif du Protocole d’amendement à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, 10.X.2018, par. 47, sur https://rm.coe.int/16808ac91b ; Commission nationale de l’informatique et des libertés, Délibération n° 2012-161 du 24 mai 2012 autorisant la Croix-Rouge Française à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité le rétablissement des liens familiaux, sur https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000026241772/.

[5] Voir le paragraphe 4 f) de la résolution 4.

Pour en savoir plus:

The International Committee of the Red Cross, the International Federation of Red Cross and Red Crescent Societies, and the Standing Commission of the Red Cross and Red Crescent, in its function as Trustee of the International Conference of the Red Cross and Red Crescent (the Conference), cannot be held responsible or liable in any manner for any user-generated content or posts on this Database. In the event that the Website team considers any post or content to be incompatible with the Fundamental Principles of the International Red Cross and Red Crescent Movement and/or with the objectives of the Conference, it reserves the right to remove such content.