Loi-type sur la protection des données personnellesPrésentation de M. Jean-François LE BIHAN, Expert CEAConsultant principal, EuroReg, Luxembourg

Réunion Ad-Hoc des Experts sur l’harmonisation des législations en matière de TIC en Afrique centrale, Libreville, 25-26 février 2013

Introduction

Dans le cadre de l’étude de conformité des lois-types avec le projet de Convention, les points suivants ont été relevés : • Points de divergence

• Les critères de dispense du consentement de la personne concernée pour le traitement de données non-sensibles

• Les pouvoirs de l’autorité nationale de fixer les catégories de traitements particulièrement risquées requérant une autorisation qu’elle délivre dans la loi-type sans équivalent dans la Convention

• L’exclusion des copies temporaires faites dans les réseaux de communications électroniques pour gérer l’accès aux services qu’ils fournissent dans le projet de Convention absente de l’avant-projet de loi-type

• Points de différence• L’exemption des personnes physiques dans le cadre exclusif de leurs

activités personnelles ou domestiques de la notification à l’autorité nationale

• Les règles d'incompatibilité entre la fonction de membre de l'autorité nationale et d'autres fonctions

Niveau de concordance

• Son niveau de concordance, le plus élevé parmi les trois lois-types, a conduit à une étude approfondie d’un plus grand nombre de points

Dispositions uniquement dans

les lois-types58%

Dispositions dans les lois-types et la

Convention31%

Dispositions uniquement dans

la Convention11%

Niveau de conformité

• Un niveau de conformité initial très élevé (95%)

• Trois (3) points de divergence et deux (2) points de différencefont l’objet d’une étude plus approfondie

Eléments de convergence

90%

Eléments de variation

5%

Eléments de différence

2%

Eléments de divergence

3%

Point de divergence : Critères de dispense du consentement pour le traitement de données non-sensibles

Avant-projet de loi-type

• Chapitre 4 : Principes auxquels le traitement doit répondre

• Section 2 : Légitimité

• Sous-section 1 : Traitement portant sur des catégories non particulières de données

• Article 5

• 1er alinéa

• 3ème élément de la liste

Article 5 :

1. Le traitement de données à caractère personnel non sensibles est, sans le consentement indubitable de la personne concernée, autorisé s'il est nécessaire:

[…]

c. à la sauvegarde de l'intérêt vital de la personne concernée

[…]

Projet de Convention

• Partie II : La protection des données à caractère personnel

• Titre 4 : Les obligations relatives aux conditions de traitements de données personnelles

• Chapitre 1 : Les principes de base gouvernant le traitement des données à caractère personnel

• Article II-28

• 2ème alinéa

• 4ème élément de la liste

Article II - 28 :

caractère personnel est considéré comme légitime si la personne concernée donne son consentement.

cette exigence du consentement lorsque le traitement est nécessaire :

[…]

4) à la sauvegarde de l’intérêt ou des droits et libertés fondamentaux de la personne concernée. […]

Point de divergence : Critères de dispense du consentement pour le traitement de données non-sensibles

Il est recommandé de supprimer « vital » et d’ajouter « des droits et libertés fondamentaux » dans l’avant-projet de loi-type.

Point de divergence : Pouvoir de fixer les catégories de traitements présentant des risques particuliers qui requièrent une autorisation

Avant-projet de loi-type

• Chapitre 5 : Les obligations du responsable de traitement et du sous-traitant

• Section 4 : Notification du traitement à l'Autorité de contrôle

• Sous-section 5 : Autorisations

• Article 19

• 1er alinéa

Article 19

1. L'Autorité de contrôle détermine les catégories de traitements qui présentent des risques particuliers au regard des droits et libertés fondamentaux des personnes concernées et qui requièrent une autorisation de l'Autorité de contrôle.

[…]

Projet de Convention

• Partie II : La protection des données à caractère personnel

• Titre 2 : Le cadre juridique de la protection des données à caractère personnel

• Chapitre 3 : Les formalités préalables à la mise en œuvre des traitements des données à caractère personnel

• Article II-8

• 1er alinéa

Article II-8

Sont mis en œuvre après autorisation de l’autorité nationale de protection :

[5 types de traitements sont cités ici dans le projet de Convention]

Point de divergence : Pouvoir de fixer les catégories de traitements présentant des risques particuliers qui requièrent une autorisation

• L’avant-projet de loi-type confère à l’autorité nationale le pouvoir de fixer les catégories de traitements qui présentent des risques particuliers au regard des droits et libertés fondamentaux pour lesquelles une autorisation préalable de cette même autorité est nécessaire.

• La portée de cette disposition est considérable puisqu’elle donne la possibilité à l’autorité d’étendre son contrôle ex-ante des traitements de données personnelles.

• Le plus important reste que les conditions a minima de la protection des données à caractère personnel telles que définies par le projet de Convention soient sauvegardées et c’est ici le cas.

• Une mention des catégories établies par le projet de Convention devrait être ajoutée, soit explicitement, soit par un renvoi à l’article de la Convention afin de les limiter.

Point de divergence : Exclusion des copies temporaires dans les réseaux télécoms

Avant-projet de loi-type

L’avant-projet de loi-type relative à la protection des données à caractère personnel ne prévoit pas de restriction de ce genre.

Projet de Convention

• Partie II : La protection des données à caractère personnel

• Titre 2 : Le cadre juridique de la protection des données à caractère personnel

• Chapitre 2 : Le champ d'application de la Convention

• Article II-4

• 1er alinéa

• 2ème élément de la liste

Article II-4

La présente Convention ne s'applique pas : […]

2) aux copies temporaires faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.

Il est recommandé d’ajouter ces dispositions au texte de l’avant-

projet de loi-type

Point de différence : Exemption de notification pour les personnes physiques dans le cadre de leurs activités personnelles ou domestiques

Avant-projet de loi-type

• Titre 1 : Dispositions communes à toutes les transactions électroniques

• Chapitre 2 : Champ d'application matériel

• Article 2 :

• 2ème alinéa

Article 2 :

[…]

2. La présente loi-type ne s'applique pas au traitement de données à caractère personnel effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.

[…]

Projet de Convention

• Partie II : La protection des données à caractère personnel

• Titre 2 : Le cadre juridique de la protection des données à caractère personnel

• Chapitre 2 : Le champ d'application de la Convention

• Article II-4

• 2ème alinéa

Article II-4

La présente Convention ne s'applique pas :

1) aux traitements de données mis en œuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques, à condition toutefois que les données ne soient pas destinées à une communication systématique à des tiers ou à la diffusion ; […]

Point de différence : Exemption de notification pour les personnes physiques dans le cadre de leurs activités personnelles ou domestiques• Le projet de Convention est plus exigeant que l’avant-projet de loi-

type en matière de critères donnant droit à l’exemption. Il faudra donc reprendre ses dispositions.

• Il est recommandé de reprendre le complément du projet de Convention dans l’avant-projet de la loi-type après s’être assuré que cela ne vient pas interférer avec d’autres processus juridiques.

Point de différence: Règles d'incompatibilité entre la fonction de membre de l'autorité nationale et d'autres fonctions

Avant-projet de loi-type

• Titre 1 : Dispositions communes à toutes les transactions électroniques

• Chapitre 7 : L'Autorité de contrôle

• Section 1 : Constitution

• Article 29

• 2ème alinéa

Article 29

1. L'Autorité de contrôle est composée de magistrats désignés par leurs pairs, de représentant désigné par le [Chef de l'Etat ou du Gouvernement], de députés désignés par leurs pairs, de personnes désignées par les associations nationales dans le domaine des droits fondamentaux de l'homme, de personnes désignées par les associations nationales de professionnels de technologies de l'information et de la communication. Ce sont les membres effectifs. […]

Projet de Convention

• Partie II : La protection des données à caractère personnel

• Titre 3 : Le cadre institutionnel de la protection des données à caractère personnel

• Chapitre 1 : Statut, composition et organisation des autorités nationales de protection des données à caractère personnel

• Article II-19

• 1er alinéa

Article II-19

La qualité de membre d’une autorité nationale de protection est incompatible avec la qualité de membre du Gouvernement, l’exercice des fonctions de dirigeants d’entreprise, [et] la détention de participation dans les entreprises du secteur des technologies de l’information et de la communication..

Point de différence: Règles d'incompatibilité entre la fonction de membre de l'autorité nationale et d'autres fonctions

Avant-projet de loi-type

• Titre 1 : Dispositions communes à toutes les transactions électroniques

• Chapitre 7 : L'Autorité de contrôle

• Section 1 : Constitution

• Article 29

• 2ème alinéa

Article 29

[…]

2. Pour être nommés et rester membre, effectif ou suppléant, de l'Autorité de contrôle, les candidats doivent remplir les conditions suivantes :

• a. être [nationalité du pays adoptant];

• b. jouir de leurs droits civils et politiques;

c. ne pas être membre d'un organe de la CEMAC ou de la CEEAC ou des Chambres législatives hormis, pour ces dernières, des membres de l'Autorité de contrôle qu'elles nomment pour être effectif ou suppléant en vertu du présent article.

d. [L'Etat adoptant devra prévoir des règles d'incompatibilité entre la fonction de membre de l'Autorité de contrôle et d'autres fonctions ainsi que des règles spécifiques pour éviter tout conflit d'intérêts survenant avant ou en cours d'exercice du mandat de membre de L'Autorité de contrôle]

[…]

Point de différence: Règles d'incompatibilité entre la fonction de membre de l'autorité nationale et d'autres fonctions• Les critères d’incompatibilité entre la fonction de membre de

l’autorité nationale et d’autres fonctions prévues dans le projet de Convention sont très étendus (membre du gouvernement, dirigeants d’entreprises et participations dans les entreprises du secteur des TIC).

• Certaines règles d’incompatibilité de l’avant-projet de loi-type sont plus détaillées et viennent compléter celle du projet de Convention, comme par exemple ne pas être membre d'un organe de la CEMAC ou de la CEEAC.

• Cependant, les recouvrements et les exclusions réciproques entre les dispositions des deux documents requièrent une harmonisation.

• Une mention des incompatibilités établies par le projet de Convention devrait être ajoutée dans la loi-type, soit de manière explicite, soit par un renvoi à l’article correspondant de la Convention.

Conclusion – Points de divergence

• Les critères de dispense du consentement de la personne concernée pour le traitement de données non-sensibles

• Recommandation n°2 : Supprimer « vital » et ajouter « des droits et libertés fondamentales » dans l’avant-projet de loi-type.

• Les pouvoirs de l’autorité nationale de fixer les catégories de traitements présentant des risques particuliers et qui requièrent une autorisation qu’elle délivre dans l’avant-projet de loi-type et qui sont absents du projet de Convention

• Recommandation n°3 : Ajouter une mention des catégories établies par le projet de Convention, soit explicitement, soit par un renvoi.

• L’exclusion dans le projet de Convention des copies temporaires faites dans les réseaux de communications électroniques pour gérer l’accès aux services qu’ils fournissent mais qui n’est pas reprise dans l’avant-projet de loi-type

• Recommandation n°4 : Ajouter ces dispositions au texte de l’avant-projet de loi-type.

Conclusion – Points de différence

• L’exemption des personnes physiques dans le cadre exclusif de ses activités personnelles ou domestiques de la notification à l’autorité nationale

• Recommandation n°8 : Reprendre le complément du projet de Convention dans l’avant-projet de la loi-type après s’être assuré que cela ne vient pas interférer avec d’autre processus juridiques

• Les règles d'incompatibilité entre la fonction de membre de l'autorité nationale et d'autres fonctions

• Recommandation n°9 : Ajouter une mention des incompatibilités établies par le projet de Convention, soit de manière explicite, soit par un renvoi à l’article correspondant de la Convention

MERCI – GRACIAS – OBRIGADO

Jean-François LE BIHAN, Consultant principal

Cabinet EuroReg, 59 rue du X Octobre, L-7243 BéreldangeLuxembourg

+352 661 82 40 20 jflebihan@gmail.com