En réponse à la consultation publique du gouvernement sur la mise en œuvre d’un Programme d’enregistrement des cartes du module d’identité des abonnés (« SIM »), le Bureau du Commissaire à la protection de la vie privée pour les données personnelles, Hong Kong (« PCPD »), a présenté un mémoire au Bureau du commerce et du développement économique. Les principales observations sont les suivantes :

• Les opérateurs de services mobiles devront se conformer aux exigences de l’Ordonnance sur les Données à Caractère Personnel (Confidentialité) (« PDPO »), y compris les Principes de Protection des Données (« DPP »), en ce qui concerne la collecte, la détention, le traitement et l’utilisation des données à caractère personnel fournies par les abonnés à la carte SIM.
• Les données à caractère personnel ne devraient être collectées que si elles sont collectées à des fins licites et nécessaires ou directement liées aux fins du ou des programmes proposés, et si elles sont adéquates mais non excessives par rapport à ces fins.
• Au lieu d’exiger que chaque abonné fournisse une copie du document d’identité pour l’inscription, sous réserve des possibilités opérationnelles, les abonnés devraient avoir une option:
  1. (i) Ils peuvent choisir de s’inscrire en ligne et, dans ce cas, ils devront fournir une copie de la pièce d’identité à des fins de vérification;
  2. (ii) Ils peuvent choisir de s’inscrire en personne dans les bureaux ou les ateliers des exploitants de services et, dans un tel cas, ils n’auraient qu’à produire la pièce d’identité originale aux fins de vérification par le personnel, mais ils n’ont pas à fournir une copie aux fins de conservation.
• Les données personnelles des abonnés ne doivent pas être conservées pendant une période plus longue que celle nécessaire à la réalisation des fins pour lesquelles les données doivent être utilisées. Une durée déterminée (disons, pas plus de 12 mois) devrait être prescrite.
• Les circonstances dans lesquelles les organismes d’application de la loi pourraient demander aux exploitants de services de fournir les dossiers d’inscription des abonnés devraient être clairement énoncées dans la loi.
• L’autorité des communications devrait, dans ses lignes directrices à l’intention des opérateurs de services, définir en détail les mesures de sécurité technique à prendre, et l’autorité des communications devrait procéder régulièrement à des inspections des systèmes/bases de données utilisés par les opérateurs de services pour s’assurer que des mesures adéquates de sécurité des données ont été mises en place.
• Les opérateurs de services devraient prendre toutes les mesures possibles pour assurer l’ouverture et la transparence de leurs politiques et pratiques en matière de données à caractère personnel.
• En vue de fournir un effet dissuasif suffisant, l’autorité des communications pourrait utiliser son pouvoir en vertu de l’ordonnance sur les télécommunications pour imposer des sanctions financières aux opérateurs de services qui ne respectent pas les exigences pertinentes du programme proposé.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DI HONG KONG – PCPD