Les lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données à caractère personnel ont été révisées en 2013. L'objectif des lignes directrices, adoptées le 23 septembre 1980, reste le même: protéger la vie privée et les données personnelles, tout en évitant des restrictions inutiles aux flux transfrontières de données. Les changements les plus significatifs concernent la responsabilisation des entreprises et acteurs publics et les notifications des violations de sécurité.
Dans la version de 2013, un responsable du traitement doit avoir un "programme de gestion de la vie privée" et il doit être préparé de le présenter sur demande à une autorité de protection des données. Les lignes directrices introduisent aussi le concept de "privacy risk assessment" qui doit permettre d'évaluer l'impact d'un traitement sur la vie privée des personnes. Le texte fait par ailleurs référence aux "privacy enforcement authorities" (autorités de protection des données) ce qui n'était pas le cas dans l'ancienne version.
Un autre point important du texte révisé concerne les notifications des violations de sécurité. Une telle notification doit être faite par le responsable du traitement aux autorités de protection des données lorsqu'il y a une "faille de sécurité significative touchant à la protection des données à caractère personnel". Si des citoyens de plusieurs pays sont concernées, les lignes appellent à une coopération transfrontère.
Les lignes directrices, non contraignantes, représentent les engagements politiques des 34 pays membres de l'OCDE. Elles seront présentées lors de la conférence internationale des commissaires à la protection des données et de la vie privée qui se tiendra à Varsovie du 23 au 26 septembre 2013.