Embedded Files
FOCUS N°1 : LA PRINCIPAUTÉ DE MONACO
FOCUS N°1 : LA PRINCIPAUTÉ DE MONACO
Droit applicable :
En Principauté, la protection des données à caractère personnel est régie notamment par la Loi n°1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée par plusieurs autres lois. Le droit de la protection des données personnelles pourrait bientôt évoluer. En effet, un projet de loi relative à la protection des données personnelles a été présenté au Conseil National. (Disponible n° 1054 - Projet de loi relative à la protection des données personnelles - Conseil National (conseil-national.mc)).
L'autorité compétente :
L'autorité de contrôle monégasque est la Commission de Contrôle des Informations Nominatives (CCIN), elle a été instituée par la loi du 23 décembre 1993 relative à la protection des informations nominatives (Article 2). Cette autorité est semblable à la CNIL en terme de pouvoirs et de responsabilité. Elle a pour mission d'enregistrer et d'examiner les dossiers (déclarations de traitement, demandes d'autorisation), de conseiller (informer les personnes de leurs droits et obligations, publication de rapports). Elle se charge également du contrôle du bon respect de la protection des données par les RT et les ST.
Les obligations :
Les responsables de traitement doivent demander l'autorisation et informer la CCIN pour mettre en œuvre un traitement de données à caractère personnel. (régime déclaratif). Il existe 3 procédures possibles :
La déclaration ordinaire
La demande d'autorisation
La déclaration simplifiée
Attention : Les obligations du RGPD étant de portée extraterritoriale, les responsables de traitement et les sous-traitants peuvent y être soumis.
Les sanctions :
Les responsables de traitement ne respectant pas les dispositions de la loi n°1.165 relative à la protection des informations nominatives, peuvent être sanctionnés pénalement d'une amende allant de 9 000 à 90 000 euros et d'une peine d'emprisonnement allant d'1 mois à 1 an. (Articles 21 et 22 de la loi n°1.165).
Attention : Le projet de loi prévoit la création de sanctions administratives dont le maximum est de 900 000 euros.
Le projet de loi :
L'objectif clairement affiché du projet de loi n°1054 est d'obtenir une décision d'adéquation de la part de la Commission européenne. Les principales modifications prévues par ce projet de loi sont :
La modification des termes "informations nominatives" par "données à caractère personnel" pour une meilleure interopérabilité;
La fin du système de déclaration des traitements au profit de la tenue d'un registre;
La création d'une nouvelle autorité administrative "APDP", prenant la suite de la CCIN, avec des pouvoirs renforcés.
De manière générale, le projet de loi prévoit les mêmes obligations que le RGPD, avec quelques spécificités.
Rédigé par Émilie Drinnhausen et Jessica Luong
FOCUS N°2 : LE ROYAUME DU MAROC
FOCUS N°2 : LE ROYAUME DU MAROC
Droit applicable :
Au Maroc, la protection des données à caractère personnel est régie par la Loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Cette loi est complétée par le Décret 2-09-165 du 21 mai 2009 pris pour l'application de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Le Maroc ne dispose pas d'une protection reconnue comme adéquate par l'UE.
L'autorité compétente :
L'autorité de contrôle marocaine est la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP), elle a été instituée par la Loi relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (Article 27).
Cette autorité, semblable à la CNIL en terme de responsabilité et de pouvoirs, a 5 grandes missions, qui sont :
L'information et la sensibilisation ;
Le conseil ;
La protection (traitement des déclarations et demandes d'autorisation des RT) ;
Le contrôle et l'investigation ;
La veille juridique et technologique.
Les obligations :
Les responsables de traitement doivent demander l'autorisation et informer la CNDP pour mettre en oeuvre un traitement de données à caractère personnel. (régime déclaratif)
Il existe 2 procédures possibles :
La demande d'autorisation ;
La déclaration simplifiée.
Tous les traitements sont les RT, les ST ou les moyens de ce traitement sont situés sur le territoire marocain sont soumis à la loi 09-08.
Attention : Les obligations du RGPD étant de portée extraterritoriale, les responsables de traitement et les sous-traitants peuvent y être soumis.
Les sanctions :
Les responsables de traitement ne respectant pas les dispositions de la loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, peuvent être sanctionnés d'une amende allant de 10.000 à 300.000 dirhams (≈ 1.000 à 30.000 euros) et d'une peine d'emprisonnement allant de 3 mois à 1 an. (Articles 52 à 63 de la loi 09-08). La sanction applicable au RT dépend du type de violation de la loi 09-08.
Point d'actualité :
La CNDP a publié un communiqué de presse en date du 19 avril 2022 relatif à la protection de la donnée génomique. La CNDP, consciente de l'importance de cette donnée pour l'amélioration des systèmes de santé mais aussi de son impact sur la sécurité des populations, organise des consultations auprès de plusieurs autorités nationales. Une journée de réflexion est aussi organisée le 27 mai 2022 pour appréhender les règles de gestion de cette donnée à caractère personnel très sensible.
Rédigé par Jessica Luong
FOCUS N°3 : LE BRÉSIL
FOCUS N°3 : LE BRÉSIL
Droit applicable :
Entrée en vigueur en 2020, la Loi générale sur la protection des données (LGPD) est la première réglementation brésilienne complète sur la protection des données. De manière générale, elle s'aligne sur le RGPD. Avant la LGPD, le droit à la protection des données était réparti dans la législation brésilienne. Par exemple : la Loi brésilienne sur l'Internet.
La LGPD s'applique à toute opération de traitement effectuée par une personne physique ou morale (de droit public ou privé), quel que soit (1) le moyen utilisé pour le traitement, (2) le pays dans lequel se trouve son siège social, ou (3) le pays où se trouvent les données, à condition que :
L'opération de traitement est effectuée au Brésil ;
Le but de l'activité de traitement est d'offrir ou de fournir des biens ou des services, ou le traitement de données d'individus situés au Brésil ; ou
Les données personnelles ont été collectées au Brésil.
L'autorité compétente :
La LGPD a créé en 2018 l'Autorité nationale de protection des données (ANPD).
Cette autorité a le pouvoir de :
Veiller à la protection des données personnelles ;
Émettre des réglementations et des procédures liées à la protection des données personnelles ;
Délibérer sur l'interprétation de la LGPD et les questions omises dans sa rédaction ;
Surveiller et appliquer des sanctions en cas de traitement de données effectué en violation de la législation ;
Mettre en place des mécanismes simplifiés d'enregistrement des plaintes concernant le traitement des données personnelles en violation de la LGPD.
Les obligations :
Pour que le traitement soit légal, il doit être effectué sur l'une des 10 bases légales prévues par la LGPD.
De plus, le traitement des données personnelles doit être effectué de bonne foi et sur la base des principes suivants :
Objectif ;
Pertinence ;
Nécessité ;
Accès libre ;
Qualité des données ;
Transparence ;
Sécurité ;
Prévention ;
Non-discrimination, et
Responsabilité
Les sanctions :
La LGPD prévoit des sanctions en cas de violation de ses dispositions : les RT ou les ST qui commettent des infractions peuvent être passibles de sanctions administratives. Elles peuvent aller jusqu'à 2 % des revenus d'une personne morale, d'un groupe ou d'un conglomérat privé au Brésil, jusqu'à un maximum total de 50 millions de reais par infraction (soit environ 8 millions d'euros).
La LGPD prévoit également d'autres sanctions comme : l'avertissement, la publicité de la violation, la suspension de l'activité de traitement des données à caractère personnel à laquelle se rapporte l'infraction pour une durée maximale de 6 mois ou encore l'interdiction partielle ou totale des activités liées au traitement des données.
Point d'actualité :
Le 14 juin 2022, l'ANPD obtiendra son indépendance vis-à-vis de la Présidence. L'organisme de protection des données a été élevé au statut d'autorité spéciale en vertu d'une mesure provisoire.
Cette mesure donne ainsi une pleine autonomie administrative et budgétaire à l'ANPD, qui n'avait auparavant qu'une autonomie technique et décisionnelle.
Lorsque la Constitution brésilienne a été modifiée pour faire de la protection des données un droit fondamental du citoyen en février 2022, l'organisme de protection des consommateurs avait déclaré que le manque d'indépendance de l'autorité était "quelque chose qui va à l'encontre de la communauté internationale".
Rédigé par Émilie Drinnhausen
Page updated
Google Sites
Report abuse