Vous trouverez au début de chaque section un bouton Aide qui vous fournit un lien vers des explications approfondies sur les questions de la section. Chaque fenêtre Aide se compose de deux parties : la première explique le principe applicable retenu par l’OCDE, tandis que la seconde fournit d'autres éléments d'information sur des termes précis contenus dans les questions, pour lesquels des hyperliens ont été créés. En lisant la fenêtre Aide avant de tenter de répondre aux questions de la section correspondante, vous serez sûr d'avoir compris la question correctement et serez en mesure d'y apporter la réponse reflétant fidèlement vos pratiques en matière de protection de la vie privée.

Le générateur conserve en permanence les réponses que vous donnez aux questions de chacune des pages du questionnaire, vous laissant la possibilité de les modifier ou de les supprimer ultérieurement ou à tout moment. Pour ce faire, vous n'avez qu'à conserver l'identificateur de déclaration ainsi que le mot de passe que vous aurez indiqués lors de la création de la déclaration. Veillez à n'utiliser que les boutons Suivant et Précédent à la fin de chaque page du générateur pour naviguer d'une page du questionnaire à l'autre, car ce sont ces boutons qui permettent au générateur de valider et d'enregistrer les réponses.

Si le générateur est inactif pendant une période de quatre heures, vous devrez de nouveau exécuter la procédure de connexion afin d'accéder aux réponses que vous aurez déjà fournies. De plus, toutes les réponses non validées seront perdues.

Le générateur utilise des "cookies" ("provisoires") pour maintenir le lien entre l'utilisateur et le serveur de l'OCDE pendant l'utilisation du générateur. Ces cookies ne sont pas conservés en permanence dans l’ordinateur de l’utilisateur ni utilisés pour enregistrer de l'information concernant ce dernier. Assurez-vous que votre navigateur Internet est configuré pour accepter des cookies (tout au moins des cookies provisoires).

A la création d'une nouvelle déclaration, le générateur vous demande de choisir un mot de passe pour éviter que d'autres utilisateurs ne puissent accéder à votre information. Veillez à ne pas laisser la fenêtre de mot de passe vierge, car cela permettrait à d'autres utilisateurs d'avoir accès à votre déclaration. Le serveur de l'OCDE n'utilise pas de connexion sécurisée pendant l'utilisation du générateur. Par conséquent, le trafic réseau entre l'utilisateur et le serveur de l'OCDE n'est pas crypté.
 

Remerciements

L'OCDE tient à remercier les personnes et les sociétés qui ont parrainé la conception technique du générateur de déclaration de politique de protection de la vie privée, à savoir : le chef du Service de la protection des données de Daimler Chrysler AG, Microsoft Consulting Services (MCS) France, Microsoft bCentral et Microsoft Europe.

L'Organisation remercie également le Comité consultatif économique et industriel (BIAC) de sa contribution au développement du projet et d’avoir recruté des sociétés pour faire l'essai du générateur.

L'OCDE est également reconnaissante aux Commissaires à la protection des données (en particulier ceux du Canada, de Hong Kong, de la Chine, de la Nouvelle-Zélande et du Royaume-Uni) ainsi que les associations de consommateurs et les spécialistes de la protection des consommateurs, notamment le Centre pour la défense de l'intérêt public (Canada) et le Conseil de la consommation (Danemark) pour leurs conseils et avis.

L'OCDE tient enfin à souligner combien il lui a été utile de pouvoir travailler, dans les premiers stades de l'élaboration du générateur, avec les assistants (wizards) concernant la protection de la vie privée mis au point par TRUSTe, AT&T et la DMA.

Les principes de protection de la vie privée énoncés dans les Lignes directrices de l'OCDE régissant la protection de la vie privée

Pour accéder au texte intégral et à l'exposé des motifs, cliquez ici

Principe de la limitation en matière de collecte

"Il conviendrait d'assigner des limites à la collecte des données de caractère personnel et toute donnée de ce type devrait être obtenue par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement". [Voir le paragraphe 7 des Lignes directrices de l'OCDE régissant la protection de la vie privée, ainsi que les paragraphes 50 à 52 de l'Exposé des motifs].

Principe de la qualité des données

"Les données de caractère personnel devraient être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l'exigent, elles devraient être exactes, complètes et tenues à jour". [Voir le paragraphe 8 des Lignes directrices de l'OCDE régissant la protection de la vie privée, ainsi que le paragraphe 53 de l'Exposé des motifs].

Principe de la spécification des finalités

"Les finalités en vue desquelles les données de caractère personnel sont collectées devraient être déterminées au plus tard au moment de la collecte des données, et lesdites données ne devraient être utilisées par la suite que pour atteindre ces finalités ou d'autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu'elles seraient modifiées". [Voir le paragraphe 9 des Lignes directrices de l'OCDE régissant la protection de la vie privée, ainsi que le paragraphe 54 de l'Exposé des motifs].

Principe de la limitation de l'utilisation

"Les données de caractère personnel ne devraient pas être divulguées, ni fournies, ni utilisées à des fins autres que celles spécifiées conformément au paragraphe 9 [principe de la spécification des finalités] des Lignes directrices de l'OCDE régissant la protection de la vie privée, si ce n'est :

a) avec le consentement de la personne concernée ; ou
b) lorsqu'une règle de droit le permet".

[Voir le paragraphe 10 des Lignes directrices de l'OCDE régissant la protection de la vie privée, ainsi que le paragraphe 55 de l'Exposé des motifs].

Principe des garanties de sécurité

"Il conviendrait de protéger les données de caractère personnel, grâce à des garanties de sécurité raisonnables, contre des risques tels que la perte des données ou leur accès, destruction, utilisation, modification ou divulgation non-autorisés". [Voir le paragraphe 11 des Lignes directrices de l'OCDE régissant la protection de la vie privée, ainsi que le paragraphe 56 de l'Exposé des motifs].

Principe de la transparence

"Il conviendrait d'assurer, d'une façon générale, la transparence des progrès, pratiques et politiques, ayant trait aux données de caractère personnel. Il devrait être possible de se procurer aisément les moyens de déterminer l'existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l'identité du maître du fichier et le siège habituel de ses activités. [Voir le paragraphe 12 des Lignes directrices de l'OCDE régissant la protection de la vie privée, ainsi que le paragraphe 57 de l'Exposé des motifs].

Principe de la participation individuelle

"Toute personne physique devrait avoir le droit :

a) d'obtenir du maître d'un fichier, ou par d'autres voies, confirmation du fait que le maître du fichier détient ou non des données la concernant ;
b) de se faire communiquer les données la concernant ; dans un délai raisonnable ; moyennant, éventuellement, une redevance modérée ; selon des modalités raisonnables ; et sous une forme qui lui soit aisément intelligible ;
c) d'être informée des raisons pour lesquelles une demande qu'elle aurait présentée conformément aux alinéas a) et b) est rejetée et de pouvoir contester un tel rejet ; et
d) de contester les données la concernant et, si la contestation est fondée, de les faire effacer, rectifier, compléter ou corriger".

[Voir le paragraphe 13 des Lignes directrices de l'OCDE régissant la protection de la vie privée, ainsi que les paragraphes 58 à 61 de l'Exposé des motifs].

Principe de la responsabilité

"Tout maître de fichier devrait être responsable du respect des mesures donnant effet aux principes énoncés ci-dessus". [Voir le paragraphe 14 des Lignes directrices de l'OCDE régissant la protection de la vie privée, ainsi que le paragraphe 62 de l'Exposé des motifs].

Données de caractère personnel
L'expression "données de caractère personnel", telle qu'elle est utilisée dans Les lignes directrices de l'OCDE régissant la protection de la vie privée, couvre un champ sémantique très vaste et désigne "toute information relative à une personne physique identifiée ou identifiable (personne concernée)". Elle engloberait donc tout type d'information ayant déjà été liée à une personne physique.

Transparence
Selon le "principe de la transparence" énoncé dans les Lignes directrices de l'OCDE régissant la protection de la vie privée, "il conviendrait d'assurer, d'une façon générale, la transparence des progrès, pratiques et politiques ayant trait aux données de caractère personnel. Il devrait être possible de se procurer aisément les moyens de déterminer l'existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l'identité du maître du fichier et le siège habituel de ses activités".

Information sur votre organisation et sur votre site Web
En communiquant de l'information sur votre organisation aux visiteurs de votre site Web, en particulier en ce qui concerne l'entité juridique qui contrôle le traitement des données de caractère personnel, vous agissez en conformité avec le principe de la transparence énoncé dans les Lignes directrices de l'OCDE régissant la protection de la vie privée. L'information que vous fournissez dans cette section sera divulguée dans votre déclaration de politique, afin que les visiteurs de votre site Web puissent savoir qui vous êtes.

Le principe de la transparence peut être considéré comme une condition préalable à l'application du principe de la participation individuelle ; veuillez noter que pour que ce dernier principe puisse être appliqué de façon efficace, il doit être possible dans la pratique d'acquérir des informations sur la collecte, l'enregistrement ou l'utilisation des données de caractère personnel.

Nom du maître du fichier
Selon les Lignes directrices de l'OCDE régissant la protection de la vie privée, l'identité du maître de fichier doit être indiqué. On entend dans les Lignes directrices par "maître du fichier", toute personne physique ou morale qui, conformément au droit interne, est habilitée à décider du choix et de l'utilisation des données de caractère personnel, que ces données soient ou non collectées, enregistrées, traitées ou diffusées par ladite personne ou par un agent agissant en son nom". Le "maître du fichier" peut par conséquent être une personne morale, par exemple une autorité publique, une organisation, un service dans une organisation, un conseil d'administration ou une personne physique.

Assurer aux visiteurs l’anonymat d’accès
L'anonymat d'accès ne constitue pas un critère des Lignes directrices de l'OCDE. Cependant, vous jugerez peut-être utile d'indiquer clairement que les visiteurs de votre site Web peuvent y naviguer sans révéler de données de caractère personnel sauf celles qui sont nécessaires à l'administration du système, par exemple, l'information qui entrent dans les fichiers journaux HTTP.

Naviguer sur le site
"Naviguer sur le site" n’implique pas que le visiteur effectuera une transaction spécifique telle que l'achat de biens et/ou de services. Si vous donnez libre accès à des services en échange de renseignements d'enregistrement personnalisés, vous devriez répondre "non" à cette question. Cependant, vous pouvez décider de modifier la déclaration pour qu’elle exprime clairement les modalités de cet échange, ce qui contribuera à l’image favorable de votre site.

Caractéristiques d'interactivité de votre site Web
Selon les liens de services de votre site Web, des données de caractère personnel concernant les visiteurs de votre site sont susceptibles d'être recueillies par d'autres visiteurs ou des serveurs tiers. Il est possible que les visiteurs de votre site ne le sachent pas, auquel cas vous jugerez peut-être utile de le préciser. Bien qu'il ne s'agisse pas là d'un critère exprès des Lignes directrices de l'OCDE régissant la protection de la vie privée, en communiquant de l'information à vos visiteurs sur les caractéristiques d'interactivité de votre site Web, lorsque ces caractéristiques permettent à une autre entité juridique de recueillir des données de caractère personnel les concernant, vous optez pour une pratique loyale, qui est conforme aux principes de la limitation en matière de collecte et de la transparence énoncés dans les Lignes directrices de l'OCDE. Par ailleurs, vous souhaiterez peut-être ajouter un lien vers la déclaration de politique de protection de la vie privée de tout autre fournisseur de services Web que vous utilisez.

Communication ou affichage
Les visiteurs de votre site ne savent peut-être pas que lorsqu'ils affichent des messages au panneau d'affichage ou dans les espaces de discussion, ou encore lorsqu'ils communiquent avec le site par courrier électronique, leurs données personnelles (par exemple, leur adresse électronique) peuvent être saisies par le site Web et/ou d'autres visiteurs.

Utilisation d'un tiers fournisseur de services Web
Les visiteurs de votre site ne savent peut-être pas que leurs données peuvent être collectées par un tiers fournisseur de services Web. En leur faisant savoir que tel peut être le cas, vous agissez en conformité avec le principe de la limitation en matière de collecte, selon lequel les données de caractère personnel doivent être collectées après information de la personne concernée.

Société qui recueille des données de caractère personnel pour diffuser de la publicité
Les sociétés qui recueillent des données de caractère personnel pour diffuser de la publicité sont également appelée "assembleurs de publicité ou de contenu". Elles recueillent des données sur les visiteurs d'un site Web et les réexpédient à d'autres destinataires. Elles peuvent également déposer un témoin dans le répertoire de témoins du visiteur, afin de suivre l'activité de ce dernier sur le Web. L'information ainsi recueillie est stockée sous forme de profil dans la base de données de la société et utilisée pour déterminer quelle annonce le visiteur verra lorsqu'il naviguera sur les sites affiliés au réseau de la société. Ces entreprises combinent parfois de l'information provenant de nombreuses sources ; les catégories d'informations sont parfois appelés canaux.

Il existe aujourd'hui plusieurs sociétés qui se font concurrence dans ce domaine, et la cyberpublicité continue d'évoluer. Chaque société gère un réseau de sites et d'annonceurs. Quelques services de publicité assurent des échanges de publicité entre les sites participants, selon des modalités qui sont essentiellement celles d'un système de troc. Les commerçants et annonceurs peuvent tenter de se tailler une place dans le secteur de l'exploitation des serveurs qui placent la publicité, pour être mieux en mesure de contrôler et de collecter des renseignements sur les visiteurs.

Collecte automatique de l'information
L'information collectée automatiquement, au moyen de témoins ou par d'autres méthodes telles que la programmation, n'est pas forcément liée à une personne. Cependant, si vous établissez un lien entre l'information que vous saisissez automatiquement, au moyen de témoins ou par d'autres méthodes, avec des données de caractère personnel sur une personne donnée, vos visiteurs doivent le savoir. En les prévenant que vous utilisez des cookies, ou d'autres moyens automatiques d'enregistrement de l'information, vous agissez en conformité avec le principe de la transparence ainsi que celui de la limitation en matière de collecte. Ce dernier principe concerne les "prescriptions relatives aux méthodes de collecte des données". Ces prescriptions visent "à empêcher les pratiques impliquant, par exemple, l'utilisation de dispositifs secrets d'enregistrement des données, tels que les magnétophones, ou les manœuvres destinées à induire la personne concernée en erreur pour en obtenir des informations. La nécessité de porter les données à la connaissance de la personne concernée ou d'obtenir le consentement de cette dernière est une règle essentielle, cette connaissance constituant l'exigence minimale" - voir le paragraphe 52 de l'Exposé des motifs.

Cookies
La technologie des cookies consiste à associer un code unique à un utilisateur donné. Les cookies ne peuvent pas servir à communiquer des renseignements d'ordre privé, tels qu'une adresse électronique, sans l'intervention de l'intéressé au préalable. Cependant, il est possible d'établir des liens entre l'information stockée dans un témoin, ou enregistrée automatiquement par d'autres moyens, et des données de caractère personnel concernant les visiteurs. Les cookies peuvent être utilisés pour plusieurs raisons, comme l'enregistrement et le stockage des mots de passe, ou pour la création de journaux sur les intérêts et préférences des visiteurs. Ils peuvent également servir à assurer la sécurité de l'information d'un visiteur au cours d'une session et à mettre en relation les données de caractère personnel avec le visiteur correspondant. Les cookies peuvent être soit provisoires, soit permanents. Par exemple, un témoin provisoire peut être utilisé par un site Web au cours d'une session pour établir le lien entre un visiteur et avec un "chariot virtuel" qui permet à ce dernier d’acheter un certain nombre d'articles plutôt que d'avoir à les acheter séparément. Un témoin permanent peut être, par exemple, celui qu'un site Web attache à un visiteur donné pour que lorsque celui-ci reviendra sur le site, il n'ait pas à passer de nouveau par tout le processus de connexion.

Vos visiteurs trouveront peut-être utile que vous leur proposiez un lien vers un site Web comme www.cookiecentral.com qui les renseignera sur les cookies.

Informations sans caractère personnel
Par exemple : adresse IP, langue préférée, numéro de session, durée ou tout autre renseignement tel que les publicités visionnées, les pages Web visitées - lorsque cette information n'est pas directement liée à un visiteur donné.

Collecte des données et spécification des finalités
Les principes de la limitation en matière de collecte, de la spécification des finalités et de la qualité de l'information sont étroitement liés. 

S'agissant du principe de la limitation en matière de collecte, la présente section portera essentiellement sur la prescription selon laquelle il doit y avoir des limites à la collecte des données qui sont jugées sensibles en raison de la façon dont elles seront traitées, de leur nature, du contexte dans lequel elles seront utilisées ou selon d'autres critères.

Le principe de la spécification des finalités implique "qu'avant ou, en tout cas, au plus tard au moment de la collecte des données, il devrait être possible de déterminer les finalités en vue desquelles ces données seront utilisées et que les modifications ultérieures de finalités devraient être spécifiées de la même façon". 

Le principe de la qualité de l'information implique que les données recueillies doivent se rapporter aux finalités en vue desquelles elles doivent être utilisées. C'est ainsi que les données concernant des opinions peuvent facilement induire en erreur si elles sont utilisées à des fins avec lesquelles elles n'ont pas de rapport, et la même remarque s'applique aux données d'évaluation.  

Données de caractère personnel fournies volontairement
Cette question concerne les catégories de données de caractère personnel qu'une personne fournit en connaissance de cause lorsqu'elle est en interaction ou correspond avec votre organisation. La collecte de données de caractère personnel auprès de particuliers peut également s'effectuer en ligne, par exemple, en enregistrant l'adresse électronique de la personne, et hors ligne, par exemple, en consignant l'information que les particuliers peuvent fournir par correspondance à votre organisation. Les données de caractère personnel peuvent être recueillies en ligne et hors ligne à partir de bons de commande, de formulaires de demande d'enregistrement ou de concours, questionnaires ou enquêtes.

Autres sources
Cette question concerne les catégories de données de caractère personnel que vous êtes susceptible de recueillir auprès d'autres sources (fichiers publics, publications, organismes publics, autorités, ou organisations privées). Il est implicite que les données de caractère personnel ainsi obtenues comprendraient des données de caractère personnel concernant vos visiteurs, que vous appariiez ou fusionniez ces données personnelles obtenues d'autres sources avec celles que vos visiteurs vous ont fournies volontairement ou que vous avez automatiquement enregistrées.

Administration technique du site Web
Une partie de l'information sert au soutien technique du site Web et du système informatique (informations relatives aux comptes informatiques et renseignements utilisés pour assurer la sécurité et la maintenance du site). En général, certaines données automatiquement enregistrées, notamment les adresses IP et les noms de domaines, sont systématiquement utilisées pour le soutien technique du site Web et du système informatique, ainsi que, par exemple, pour cerner les problèmes qui peuvent se poser avec le serveur ou améliorer la sécurité de l'information d'un visiteur au cours d'une session.

Recherche, développement et statistiques
Une partie de l'information sert à améliorer , évaluer ou réaménager le site, le service, le produit ou le marché. Les adresses IP, par exemple, sont utilisées pour recueillir des données démographiques générales (telles que les habitudes ou les intérêts des acheteurs dans une région géographique donnée). Note : N'entrent pas dans cette catégorie les données de caractère personnel servant à modifier ou à individualiser le contenu, ni les renseignements qui servent à évaluer, cibler, contacter le visiteur ou à en établir le profil.

Gestion des relations avec la clientèle
Une partie des données recueillies sert à fournir des services d'information, de communication ou de transaction, par exemple pour retourner les résultats au terme d'une recherche sur l'Internet, pour acheminer du courrier électronique, passer ou exécuter une commande ou encore effectuer une livraison. L'information financière, notamment, sert à vérifier les données d'enregistrement des visiteurs, les numéros de cartes de crédit ou à facturer le service ou le produit, et les adresses IP à identifier les visiteurs ainsi que leur chariot virtuel. Les données pourraient également être utilisées pour contacter les visiteurs si besoin est.

Marketing
Une partie des données est utilisée pour contacter les visiteurs afin de leur faire parvenir de l'information commerciale sur un produit ou un service. Les données servent notamment à informer les visiteurs des dates de mise à jour du site, ou à individualiser le contenu ou la présentation du site ou de la page. D'une façon plus générale, ces données sont utilisées pour le publipostage, les listes de clients éventuels, l'analyse et le marketing. Il se pourrait que vous vouliez à l'avenir communiquer cette information à des tiers.

Échange de données de caractère personnel
Une partie des données collectées et traitées sont destinées à être vendues à d'autres organisations.

Autres finalités
Les données servent également à d'autres fins, telles que l'évaluation automatique (par exemple, de solvabilité ou de cote de crédit), ou répondent à une prescription légale (par exemple, information détaillée si les transactions comportent certaines caractéristiques, ou obligations de vérification de l'âge pour certains services destinés aux adultes).

Renseignements primaires/information professionnelle
Veuillez cocher chaque case pertinente concernant cette catégorie de données personnelles, afin d'expliquer comment vous les obtenez.

Renseignements personnels
Par exemple, surnom, date de naissance/âge, lieu de naissance, nationalité.

Description physique
Par exemple, taille, poids, signes particuliers.

État civil
Par exemple, situation matrimoniale, pacte, nombre de personnes à charge.

Instruction et qualifications
Par exemple, dossier universitaire, centres d'intérêt professionnel.

Style de vie ou goûts personnels
Par exemple, renseignements sur la consommation de biens ou de services, loisirs et sports, comportement personnel ou familial, consommation de tabac ou d'alcool, couleur préférée, habitudes alimentaires.

Renseignements financiers
Par exemple, salaires/revenus, patrimoine foncier.

Identificateurs en ligne
Par exemple, mots de passe pour site Web, témoins ou certificats d’identité des visiteurs, PUID (code apparié ou identificateur de site), TUID (identificateur temporaire ou de site).

Identificateurs financiers
Par exemple, numéro de carte de crédit ou de compte bancaire.

Identificateurs attribués par des organismes publics
Par exemple, numéro de sécurité sociale, numéro d'identité. Selon le principe de la qualité des données énoncé dans les Lignes directrices de l'OCDE, les données de caractère personnel devraient être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées. Dans de nombreux pays, ces données de caractère personnel sont considérées comme sensibles et leur utilisation est soumise à restrictions. Si vous recueillez et utilisez des données de caractère personnel qui entrent dans cette catégorie, vous devriez consulter la section intitulée Ressources documentaires sur la protection de la vie privée et obtenir des compléments d'information pour savoir si l'une de ces réglementations a une incidence sur le traitement que vous faites de ces catégories de données de caractère personnel.

Identificateurs biométriques
Par exemple, l'ADN, la reconnaissance de l'iris, les empreintes digitales. Selon le principe de la qualité des données retenu par l'OCDE, les données de caractère personnel devraient être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées. La Directive européenne 95/46/CE, par exemple, prévoit des conditions supplémentaires à remplir si un maître de fichier souhaite traiter des données de caractère personnel entrant dans cette catégorie. Si tel est votre cas, vous devriez consulter la section intitulée Ressources documentaires sur la protection de la vie privée (voir par exemple la Convention n°198 du Conseil de l'Europe, la Directive européenne 95/46/CE ainsi que les Principes directeurs des Nations Unies pour la réglementation des fichiers informatisés contenant des données à caractère personnel).

Données spécifiques
Selon le principe de la qualité des données retenu par l'OCDE, les données de caractère personnel devraient être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées. Si vous recueillez et utilisez des données de caractère personnel qui entrent dans cette catégorie, vous devriez consulter la section intitulée Ressources documentaires sur la protection de la vie privée (voir par exemple la Convention n°198 du Conseil de l'Europe, la Directive européenne 95/46/CE ainsi que les Principes directeurs des Nations Unies pour la réglementation des fichiers informatisés contenant des données à caractère personnel) :

Origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance à un syndicat, données médicales, vie sexuelle, données judiciaires, par exemple sur les actions pénales engagées par le visiteur ou contre lui.

Consentement
En demandant le consentement des visiteurs pour divulguer les données de caractère personnel les concernant en vue de nouvelles finalités, vous agissez en conformité avec le principe de la spécification des finalités et celui de la limitation de l'utilisation. Selon le premier de ces principes, les finalités en vue desquelles les données de caractère personnel sont collectées devraient être déterminées au plus tard au moment de la collecte des données et lesdites données ne devraient être utilisées par la suite que pour atteindre ces finalités ou d'autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu'elles seraient modifiées. Le principe de la limitation de l'utilisation développe cette prescription en précisant que les données de caractère personnel ne devraient pas être divulguées, ni fournies, ni utilisées à des fins autres que celles spécifiées. Cependant, si vous souhaitez utiliser ou divulguer les données de caractère personnel concernant vos visiteurs en vue d'une finalité qui serait incompatible ou non spécifiée, vous pouvez le faire à condition d'avoir obtenu au préalable le consentement de vos visiteurs.  

Acceptation
On entend par "acceptation" le consentement effectif que la personne concernée a la possibilité de donner. Autrement dit, les données de caractère personnel ne pourront être divulgués à un tiers que lorsque la personne concernée aura donné son consentement. Sans ce consentement effectif, les données de caractère personnel ne devraient pas être divulguées à des tiers.

Possibilité de refus
On entend par "possibilité de refus" le fait de donner à la personne concernée la possibilité de s'opposer à la divulgation de données personnelles. Autrement dit, une personne peut recevoir de l'information comme de la publicité, aussi longtemps qu'elle n'a pas fait savoir qu'elle ne souhaitait pas en recevoir. Cela peut également vouloir dire que les données de caractère personnel peuvent être divulguées à des tiers aussi longtemps que les personnes intéressées n'ont pas fait connaître leur objection à cette divulgation.

Protection de la vie privée des enfants
Les Lignes directrices de l'OCDE ne préconisent pas une protection spécifique pour les données de caractère personnel des enfants, mais dans certains pays, la collecte et l'utilisation de cette catégorie de données de caractère personnel peuvent être soumises à des restrictions. Par exemple, aux États-Unis, le Children's Online Privacy Protection Act (COPPA) et la réglementation y afférente, qui sont entrés en vigueur le 21 avril 2000, régissent la collecte en ligne d'informations de caractère personnel concernant les enfants de moins de 13 ans par des opérateurs de sites Web ainsi que l'utilisation de cette information. Vous trouverez ci-après un bref résumé des principales dispositions du COPPA, mais vous aurez intérêt à vous informer plus précisément sur les obligations qui en découlent, au site www.ftc.bcp/conline/pubs/buspubs/coppa.htm.

Les organisations qui ne sont pas régies par le COPPA peuvent néanmoins mener des politiques spécifiques de protection de la vie privée à l'égard des enfants, qui peuvent être intégrées à la déclaration de politique en utilisant cette section du questionnaire.

Pratiques en matière d'information
Les organisations qui peuvent être assujetties au COPPA doivent noter que la réglementation définitive afférente à cette loi fournit des indications claires sur les endroits où devraient être placés des avis concernant les pratiques en matière de données de caractère personnel recueillies sciemment auprès des enfants. Les organisations ont le choix. Elles peuvent afficher aux endroits appropriés l'intégralité de leur déclaration de politique de protection de la vie privée, ou bien, si elles le souhaitent, les passages qui concernent la protection de la vie privée des enfants qu’elles auront extraits de cette déclaration. On trouvera de plus amples éléments d'appréciation sur cette question en consultant le site Web de la FTC déjà mentionné.

Divulgation et choix du visiteur
En communiquant aux visiteurs de votre site Web des renseignements sur les finalités en vue desquelles des données de caractère personnel les concernant sont recueillies et à qui ces données peuvent être révélées, vous agissez en conformité avec le principe de la spécification des finalités et le principe de la limitation de l'utilisation des Lignes directrices de l'OCDE régissant la protection de la vie privée. Il y a "utilisation" de données chaque fois que l'organisation se sert de données concernant une personne identifiable. La "divulgation" de données consiste à révéler ou à transférer les données à l'extérieur de l'organisation. 

Selon le principe de la spécification des finalités, les finalités en vue desquelles les données de caractère personnel sont collectées devraient être déterminées au plus tard au moment de la collecte des données et lesdites données ne devraient être utilisées par la suite que pour atteindre ces finalités ou d'autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu'elles seraient modifiées.

Ce principe implique qu'avant ou, en tout cas, au plus tard au moment de la collecte des données, il devrait être possible de déterminer les finalités en vue desquelles ces données seront utilisées et que les modifications ultérieures de finalités devraient être spécifiées de la même façon. Ces finalités peuvent être spécifiées d'un certain nombre de manières différentes ou complémentaires, et notamment par des déclarations publiques, l'information des personnes concernées, la législation, les décrets administratifs et les autorisations délivrées par des organes de tutelle. Selon ce principe et celui de la limitation de l'utilisation, de nouvelles finalités ne devraient pas être introduites de façon arbitraire ; la liberté d'y apporter des modifications doit impliquer la compatibilité avec les finalités qui avaient été déterminées à l'origine.

Le principe de la limitation de l'utilisation a trait aux utilisations de différents types, y compris la divulgation, qui impliquent des écarts par rapport aux finalités spécifiées. En règle générale, les finalités spécifiées à l'origine ou ultérieurement devraient jouer un rôle décisif dans les utilisations qui pourront être faites des données. Le principe de la limitation de l'utilisation prévoit deux exceptions générales à ce principe, à savoir : avec le consentement de la personne concernée ou lorsque la loi le permet (notamment dans le cas des autorisations délivrées par des organes de tutelle). On peut par exemple prévoir que les données collectées en vue de la prise de décisions d'ordre administratif sont susceptibles d'être fournies à des fins de recherche, de statistiques et de planification sociale.

Divulgation
Lorsque vous avez l'intention de divulguer les données personnelles concernant vos visiteurs en vue des finalités que vous avez déjà indiquées dans vos réponses à ce questionnaire, vous n'êtes pas toujours obligé d'obtenir leur consentement à cet effet. Cependant, il importe que vous notiez que la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 sur la protection des particuliers en ce qui concerne le traitement des données de caractère personnel et sur la libre circulation de ces données prévoit l'application de critères spéciaux à respecter en ce qui concerne l'utilisation et la divulgation de données de caractère personnel à des fins de marketing et de publicité. Si votre organisation est assujettie à un instrument réglementaire, vous jugerez peut-être utile de consulter les Ressources documentaires sur la protection de la vie privée pour déterminer si l'une ou l'autre de ces réglementations s'applique à l'utilisation ou à la divulgation que vous ferez des données de caractère personnel en vue de ces finalités. Dans certains secteurs, par exemple la vente directe, les codes de pratique professionnelle contiennent parfois des critères spéciaux concernant l'utilisation de données de caractère personnel à ces fins. Encore là, vous aurez intérêt à vous renseigner plus précisément en consultant les Ressources documentaires sur la protection de la vie privée.

Le principe de la limitation de l'utilisation implique que si vous souhaitez divulguer des données de caractère personnel concernant vos visiteurs en vue de finalités différentes de celles que vous avez déjà spécifiées, vous devrez au préalable obtenir le consentement de vos visiteurs, à moins que cette divulgation ne soit exigée par autorité de justice.

Confidentialité/sécurité
L'élaboration d'une politique de sécurité qui protège les données de caractère personnel sous votre contrôle est conforme au principe des garanties de sécurité énoncé dans les Lignes directrices de l'OCDE régissant la protection de la vie privée.

Ce principe implique que les données de caractère personnel doivent être protégées grâce à des garanties de sécurité raisonnables contre des risques tels que la perte des données, ou l'accès à ces données, leur destruction, utilisation, modification ou divulgation non autorisés. Les Lignes directrices de l'OCDE sur la sécurité de 2002 suggèrent aussi que "la sécurité doit être assurée dans le respect des valeurs reconnues par les sociétés démocratiques, et notamment la liberté d’échanger des pensées et des idées, la libre circulation de l’information, la confidentialité de l’information et des communications, la protection adéquate des informations de caractère personnel, l’ouverture et la transparence" sous le principe de democratie.

Les garanties de sécurité visent à renforcer les limitations imposées en ce qui concerne l'utilisation et à la divulgation des données. Ces garanties comprennent des mesures d'ordre matériel (verrouillage des portes et carte d'identification, par exemple), des mesures structurelles (telles que les niveaux hiérarchiques en ce qui concerne l'accès aux données) et, en particulier avec les systèmes informatiques, des mesures informationnelles (telles que le chiffrement et la surveillance des activités inhabituelles susceptibles de présenter un danger, et des mesures destinées à y faire face). Il convient de souligner que la catégorie des mesures structurelles comprend l'obligation faite au personnel chargé du traitement de l'information de maintenir le caractère confidentiel des données.

Méthode de transmission sécurisée
Par exemple, utilisation d’une technologie de cryptographie standard de l'industrie pour transférer et recevoir des données de caractère personnel sur le site.

Accès non autorisé
Il convient par exemple de prendre des mesures pour faire en sorte que seul le personnel autorisé ait accès aux données.

Utilisation ou divulgation abusive
Il convient par exemple de prendre des mesures pour veiller à ce que les données ne soient utilisées ou divulguées qu'en vue des finalités qui ont été communiquées aux visiteurs au moment de la collecte ou auparavant. Des mesures peuvent également être prises pour confirmer l'identité des personnes avant de leur fournir une copie des données de caractère personnel les concernant, afin d'éviter que les données concernant une personne soient divulguées par erreur à une autre. 

Modification ou altération non autorisée
Il s’agit ici de l'introduction non autorisée de données. Il convient de prendre des mesures pour veiller à ce que les données ne soient modifiées que par le personnel autorisé, et que la modification éventuelle ne rende pas les données inexactes.

Destruction illicite ou perte accidentelle
On entendu par "perte de données", l'effacement accidentel de données, la destruction de support de stockage de données (et par conséquent la destruction de ces dernières), ainsi que le vol de support de stockage de données. Il convient de prendre des mesures pour mettre en place des procédures de sécurité suffisantes permettant d'éviter la destruction illicite (c'est-à-dire qui ne respecte pas les instructions du maître du fichier) ou accidentelle, ainsi que la perte de données.

Sous-traitants
Il s'agit de tiers qui traitent les données pour le compte du maître du fichier, uniquement en vue de finalités déclarées et qui n'utilisent ces informations d'aucune autre façon.

Confidentialité
Selon le paragraphe 56 de l'Exposé des motifs, le principe des garanties de sécurité englobe des mesures d'ordre matériel, des mesures structurelles et des mesures informationnelles. "Il conviendrait de souligner que la catégorie des mesures structurelles comprend l'obligation faite au personnel chargé du traitement de l'information de maintenir le caractère confidentiel des données".

Participation individuelle/accès
Selon le principe de la participation individuelle retenu par l'OCDE, toute personne physique devrait avoir le droit :

a) d'obtenir du maître d'un fichier, ou par d'autres voies, confirmation du fait que le maître du fichier détient ou non des données la concernant ;

b) de se faire communiquer les données la concernant

• Dans un délai raisonnable ;

• Moyennant, éventuellement, une redevance modérée ;

• Selon des modalités raisonnables ; et

• Sous une forme qui lui soit aisément intelligible ;

c) d'être informée des raisons pour lesquelles une demande qu'elle aurait présentée conformément aux alinéas a) et b) est rejetée et de pouvoir contester un tel rejet ; et

d) de contester les données la concernant et, si la contestation est fondée, de les faire effacer, rectifier, compléter ou corriger.

Selon l'Exposé des motifs des Lignes directrices de l'OCDE, le droit d'accès devrait, en règle générale, être simple à exercer. Cela peut signifier notamment qu'il devrait s'inscrire dans le cadre des activités quotidiennes du maître du fichier ou de son représentant et ne nécessiter aucune action juridique ou démarche analogue. Parfois, il y aurait peut-être lieu de prévoir un accès intermédiaire aux données ; dans le domaine médical, par exemple, le médecin pourra servir d'intermédiaire. Dans certains pays, les organes de tutelle, comme les autorités chargées de l'inspection des données, pourront assurer des services analogues. Il existe différentes manières de se conformer à la prescription selon laquelle les données devraient être communiquées dans des délais raisonnables. C'est ainsi qu'un maître de fichier qui fournit des informations aux personnes concernées à intervalles réguliers pourra être dispensé de l'obligation de répondre immédiatement aux demandes présentées à titre individuel. Normalement, le délai doit être compté à partir de la réception d'une demande. Sa durée pourra varier dans une certaine mesure d'un cas à l'autre, en fonction de circonstances comme la nature de l'activité de traitement de l'information. Par transmission des données "selon des modalités raisonnables", on entend notamment que les problèmes de distance géographique devraient être dûment pris en considération. De plus, si des intervalles sont prescrits entre les moments où les demandes d'accès doivent être satisfaites, il faudrait que ces intervalles soient raisonnables. La possibilité pour les personnes d’obtenir des copies des données les concernant est une question de mise en œuvre qu'il appartiendra à chaque pays membre de régler.

Le droit mentionné à l'alinéa c) d'être informé des raisons est restreint, en ce sens qu'il est limité à des cas où les demandes d'information ont été rejetées.

Le droit de contester a une large portée et couvre les contestations introduites en premier lieu devant le maître du fichier, de même que les contestations présentées ultérieurement devant les tribunaux, organismes administratifs, organes professionnels ou autres institutions suivant les règlements intérieurs des pays. Le droit de contester ne signifie pas que la personne concernée peut décider du recours ou de la réparation (rectification, introduction d'une mention précisant que les données font l'objet de litiges, etc.) : ces questions seront tranchées en vertu du droit interne du pays concerné.

Copie intelligible
On entend ici sous une forme qui soit facilement intelligible - par exemple une explication pour toute information codée contenue dans les données de caractère personnel.

Redevance spécifique
La redevance éventuelle ne doit pas être excessive - voir le paragraphe 13(b)(ii) des Lignes directrices de 1980 de l'OCDE : "toute personne physique devrait avoir le droit de se faire communiquer les données la concernant moyennant, éventuellement, une redevance modérée". Dans certains pays, la loi interdit ou limite les redevances de ce type.

Contestation
Le droit de contestation des données de caractère personnel (paragraphe 61 des Lignes directrices de l'OCDE et Exposé des motifs) implique que vous permettez aux personnes physiques de contester les données de caractère personnel que vous détenez à leur sujet. Autrement dit, vous leur donnez la possibilité de contester ces données. Si par exemple une personne croit que des données de caractère personnel lui ont été incorrectement attribuées, ou qu'elles sont inexactes, vous pouvez lui permettre de produire des preuves à l'appui de sa contestation et modifier ou supprimer les données en question (le cas échéant) si ces preuves établissent la légitimité de la préoccupation de la personne.

Effacement
Suppression/retrait d'un enregistrement.

Rectification ou modification
Correction d'un enregistrement ou d'une erreur.

Complément
Ajout de toute donnée manquante pour faire en sorte que les données soient complètes.

Droit de refus
Il peut exister des raisons valables de refuser l'accès à l'information, par exemple pour protéger vos intérêts légitimes ou les droits et libertés de tiers.

Motif de refus de fournir l'information
Selon le paragraphe 13(c) du principe de la participation individuelle, toute personne physique devrait avoir le droit d'être informée des raisons pour lesquelles une demande [visant à confirmer le fait que le maître du fichier détient ou non des données la concernant] est rejetée et de pouvoir contester un tel rejet. Ainsi que cela est expliqué dans le paragraphe 60 de l'Exposé des motifs, le droit d'être informé des raisons mentionné à l'alinéa 13(c) est restreint en ce sens qu'il est limité à des cas où les demandes d'informations ont été rejetées. L'idée d'élargir ce droit de manière à englober les raisons pour lesquelles des décisions défavorables en général seraient prises sur la base de données de caractère personnel a suscité une réaction favorable au sein de l'OCD. Cependant, lors de l'examen final, on a estimé qu'un droit de cette nature était de trop vaste portée pour pouvoir figurer dans le cadre des principes de protection de la vie privée que constituent les Lignes directrices de l'OCDE. Cela ne veut pas dire que le droit d'être informé des raisons pour lesquelles une décision défavorable aurait été prise ne puisse pas être opportun, par exemple pour informer et alerter une personne concernée à propos de ses droits, afin qu'elle puisse les exercer effectivement.

Preuve d'identité
Si vous exigez une preuve d'identité avant de fournir à une personne de l'information au sujet des données de caractère personnel que vous détenez ou de lui fournir une copie de ces données, vous jugerez peut-être utile d'indiquer dans votre déclaration de politique de protection de la vie privée la preuve que vous exigez, par exemple, un mot de passe ou une confirmation de la date de naissance.

Conformité avec un instrument de protection de la vie privée
Selon le principe de la responsabilité retenu par l'OCDE un maître de fichier devrait être responsable du respect des mesures donnant effet aux principes de protection de la vie privée de l'OCDE. Ainsi que cela est expliqué dans le paragraphe 69 de l'Exposé des motifs, c'est en premier lieu aux pays Membres qu'il appartient de fixer les modalités détaillées d'application des principes et des Lignes directrices. Ces modalités vont nécessairement varier selon les différents régimes et traditions juridiques. Les Lignes directrices de l'OCDE se veulent par conséquent flexibles et envisagent la possibilité d'adopter un éventail d'approches, par exemple la création d'organes de tutelle spéciaux, le recours à des moyens de contrôle déjà en place, tels que les tribunaux, ou l'autorégulation, qui consisterait à mettre en application les Lignes directrices hors du cadre législatif pour compléter l'action législative. A défaut de mécanisme législatif ou d'autorégulation, les Lignes directrices de l'OCDE offrent un point de référence commun et peuvent être incorporées dans une solution contractuelle visant à assurer la protection de la vie privée.

Législation nationale de protection de la vie privée
Plus de trente pays ont adopté une législation de protection de la vie privée, qui s'applique, selon le pays, aux secteurs public et privé ou uniquement au secteur public. Pour de plus amples renseignements sur les législations nationales, voir l'inventaire des instruments et mécanismes concernant la protection de la vie privée (version de janvier 2003). Pour accéder à des liens électroniques vers les autorités nationales chargées de la protection des données et de la vie privée, voir les Ressources documentaires sur la protection de la vie privée. Veuillez noter que ces ressources vous sont fournies pour votre commodité et n'ont aucun caractère définitif.

Instruments nationaux d'autorégulation
Dans les pays où il n'existe pas de législation portant expressément sur la protection de la vie privée, il existe néanmoins des règlements qui s'appliquent à certains secteurs d'activité, de même qu'un certain nombre de dispositions émanant de l'industrie elle-même. Des principes généraux ou des normes ont également été formulés pour servir de référence aux secteurs public et privé. De nombreuses associations professionnelles ont adopté des codes de conduite et pris des engagements volontaires en matière de protection de la vie privée. Pour de plus amples renseignements sur l'autorégulation, voir l'inventaire des instruments et mécanismes concernant la protection de la vie privée (version de janvier 2003). Pour avoir accès à des liens électroniques vers la FTC et des organismes du secteur privé spécialisés dans ce domaine, voir les Ressources documentaires sur la protection de la vie privée. Veuillez noter que ces ressources vous sont fournies pour votre commodité et n'ont aucun caractère définitif.

Principaux instruments de protection de la vie privée
Nous vous suggérons d'ajouter ultérieurement à votre déclaration de politique de protection de la vie privée un hyperlien vers l'instrument ou les instruments auxquels vous vous conformez.

Instruments internationaux de réglementation
Par exemple, les Lignes directrices de l'OCDE régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, les Principes directeurs des Nations Unies pour la réglementation des fichiers personnels informatisés, adoptés par l'Assemblée générale dans sa Résolution 45/95 du 14 décembre 1990. Pour de plus amples renseignements, voir l'inventaire des instruments et mécanismes concernant la protection de la vie privée (version de janvier 2003). Les Ressources documentaires sur la protection de la vie privée proposent des liens électroniques vers certains de ces instruments internationaux de réglementation de protection de la vie privée. Veuillez noter que ces ressources vous sont fournies pour votre commodité et n'ont aucun caractère définitif.

Instruments régionaux de réglementation
Par exemple, la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données, la Directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Pour de plus amples renseignements, voir l'inventaire des instruments et mécanismes concernant la protection de la vie privée (version de janvier 2003). Les Ressources documentaires sur la protection de la vie privée proposent des liens électroniques vers certains de ces instruments régionaux de réglementation de protection de la vie privée. Veuillez noter que ces ressources vous sont fournies pour votre commodité et n'ont aucun caractère définitif.

Instruments d'autorégulation en matière de protection de la vie privée
Par exemple, les codes de conduite de la Chambre de commerce international. Voir les Ressources documentaires sur la protection de la vie privée pour avoir accès à un lien électronique. Veuillez noter que ces ressources vous sont fournies pour votre commodité et n'ont aucun caractère définitif.

Démonstration
Pour démontrer que votre déclaration de politique de protection de la vie privée est conforme à la réglementation applicable, vous pouvez volontairement engager votre organisation dans le cadre d'une démarche d'auto-évaluation, ou d’un processus de certification administré par un tiers, ou encore vous soumettre à la supervision d'un organisme public ou d'une autorité compétente en matière de protection de données. Nous vous suggérons d'ajouter ultérieurement un hyperlien vers la personne, le service, l'autorité ou l’organisme compétent. Voir les Ressources documentaires sur la protection de la vie privée pour connaître les organismes du secteur privé ayant une compétence dans ce domaine. Veuillez noter que ces ressources vous sont fournies pour votre commodité et n'ont aucun caractère définitif.

Procédure d'auto-évaluation
Même s'il se peut que votre organisation ne soit pas soumise à une évaluation extérieure de ses pratiques en matière de protection de la vie privée (que ce soit par un ministère, une autorité de protection des données ou un organisme de certification tiers), elle peut entreprendre un audit interne régulier de sa politique en matière de protection de la vie privée, ainsi que de sa conformité avec sa politique.

Certification par un organisme tiers
Par exemple, TRUSTe, BBB Online. Voir les Ressources documentaires sur la protection de la vie privée pour avoir accès à un lien électronique. Le Conseil japonais du développement du traitement de l'information (JIPDEC) applique un système de label en matière de protection de la vie privée. L'Association japonaise de transmission de données dispose d'un centre d'enregistrement pour la protection de l'information de caractère personnel.

Autorité chargée de la protection des données
Par exemple, les Commissaires à la protection des données en Europe, en Nouvelle-Zélande ou à Hong Kong. Voir les Ressources documentaires sur la protection de la vie privée pour avoir accès à un lien électronique. Veuillez noter que ces ressources vous sont fournies pour votre commodité et n'ont aucun caractère définitif.

Soutien à la protection de la vie privée
En communiquant à vos visiteurs de l'information sur les mesures que vous mettez en œuvre pour répondre à leurs préoccupations, vous agissez en conformité avec les principes de la transparence et de la responsabilité, ainsi qu'avec les prescriptions de la partie 4 des Lignes directrices, qui concernent la mise en œuvre des principes à l'échelon national, et qui demandent d' "instituer des sanctions et des recours appropriés en cas d'inobservation des mesures mettant en œuvre" les principes retenus par l'OCDE en ce qui concerne la protection de la vie privée.

Coordonnées utiles
Vous pouvez fournir aux visiteurs de votre site Web les coordonnées de plusieurs personnes ou services qu'ils pourront contacter.

Mécanismes de résolution des différends par un tiers
Ces mécanismes peuvent être la conciliation, la médiation et l'arbitrage.

La conciliation est une formule mixte qui intègre un certain nombre d'autres mécanismes de résolution de différends tels que la médiation et l'arbitrage (voir ci-après). La structure et le fonctionnement exact d'un processus de conciliation varieront selon le modèle choisi, qui doit tenir compte du type de différend en cause. Le conciliateur exerce les pouvoirs à la fois d'un médiateur et d'un arbitre. La conciliation ne doit toutefois pas être confondue avec, notamment, la médiation (voir ci-après), qui peut se prolonger jusqu'à l'arbitrage.

La médiation fait intervenir un tiers -- le médiateur -- qui aide les parties à trouver un terrain d'entente. Le médiateur n'a pas le pouvoir de trancher un différend mais seulement celui d'aider les parties à déterminer les options qui s'offrent à elles et à les négocier. Le médiateur facilite la communication entre les parties, les aident à reconnaître les intérêts l'une de l'autre et à définir leur intérêt commun, ainsi qu'à modifier leur perception des coûts associés à une impossibilité de parvenir à un règlement, pour les inciter à trouver une solution.

L'arbitrage est une procédure juridictionnelle de droit privé dans laquelle un tiers impartial qui n'est pas une instance publique entend les parties à un différend et rend une décision juridiquement obligatoire. EN général, les arbitres sont désignés par les parties au différend. Cependant, l'arbitrage sous l'égide d'un tribunal gagne en popularité. Les pouvoirs de l'arbitre résultant alors d'une décision ou du règlement de procédure du tribunal. Les parties peuvent conclure à l'avance une clause compromissoire qui sera valable pour les différends à venir. Elles peuvent aussi conclure un compromis d'arbitrage qui portera sur un différend déjà né.