En mai, la nouvelle loi sur la protection des données, « Llei 29 2021, del 28 d’octubre, qualificada de protecció de dades personals » (LQPD), entre en vigueur en Andorre et remplace la loi de 2003. Le texte et sa structure se sont fondés sur le Règlement européen sur la protection des données (RGPD) et prévoient de nouvelles obligations pour les entreprises andorranes qui devront adapter leurs procédés à la législation. Ces obligations incluent notamment : tenir un registre détaillé des activités de traitement des données, créer un plan d’impact, et désigner un délégué à la protection des données. La nouvelle loi définit et élargit également les droits des personnes physiques, tels que les droits de portabilité et de limitation.
Dans cet article, nous vous informons des nouvelles obligations les plus significatives de la loi, impliquant une plus grande protection lorsque les personnes fournissent leurs données.
Table des matières :
- Mise à jour de la loi sur la protection des données
Qui doit appliquer la nouvelle loi ?
Les nouveaux droits des personnes physiques
Le consentement
Registre des activités
Désignation d’un délégué à la protection des données (DPD)
L’analyse d’impact
Sanctions financières
Nouvelles compétences de l’ADPA
Mise à jour de la loi sur la protection des données
Commençons par signaler que l’Andorre disposait déjà d’une résolution garantissant un niveau adapté de protection des données à caractère personnel, à l’intérieur du pays comme à l’étranger, fruit de la Décision 2010/625/UE du 19 octobre 2010. Toutefois, le RGDP considère que cette décision peut être réexaminée tous les quatre ans et coïncide avec la date d’adoption du nouveau cadre réglementaire. Bien que l’Andorre ne fasse pas partie de l’Union Européenne, elle est signataire de la Convention 108 sur la protection des données, qui est à l’origine de nombreuses lois actuelles.
De plus, s’ouvrir au marché numérique est une priorité pour l’Andorre et c’est la raison pour laquelle elle souhaite adopter une réglementation similaire à celle des pays désireux de venir investir.
Qui doit appliquer la nouvelle loi ?
La LQPD devra être appliquée par toutes les personnes, sociétés, entités et entreprises publiques et privées qui traitent des données personnelles. Elle fait référence au traitement manuel et automatisé de données situées sur le territoire andorran par des entreprises domiciliées en Andorre, ainsi que celles de l’étranger qui opèrent dans le pays.
Les nouveaux droits des personnes physiques
Aux droits d’accès, de rectification, d’effacement et d’opposition déjà inclus dans la loi de 2003, s’ajoutent le droit à l’oubli, à la limitation du traitement et à la portabilité. Tous ces droits visent à garantir le plus haut niveau de protection de traitement des données à caractère personnel.
La LQPD détermine également que la personne concernée doit être informée de la manière dont elle peut exercer ses droits et par quels moyens. Cet exercice est gratuit et le responsable du traitement des données au sein de l’entreprise doit obligatoirement y répondre. Il devra le faire dans un délai maximum d’un mois, indiquant l’acceptation, le refus ou la prolongation de la demande, en justifiant cette décision.
Le consentement
La réglementation définit également la façon dont le consentement entre la personne physique et l’organisation doit se faire. Celui-ci doit être donné de façon libre, spécifique, informée et évidente, et recueilli par une déclaration ou une action affirmative claire de la part de la personne concernée. L’entreprise doit informer de l’identité du responsable du traitement des données, du type de données qui seront traitées, à quelles fins et comment. L’utilisateur doit par ailleurs être informé à ce moment-là de comment retirer son consentement.
S’il existe différentes finalités, elles devront être indiquées au moment du consentement au moyen d’une liste et d’une case pour chaque finalité. L’utilisateur pourra indiquer ce qu’il accepte et ce qu’il n’accepte pas.
La loi évoque les personnes de plus de 16 ans, pour les mineurs, elle établit des conditions supplémentaires destinées au responsable légal.
Registre des activités
Il n’est plus obligatoire d’enregistrer les fichiers de données auprès de l’Agence andorrane de protection des données (APDA). À partir de l’entrée en vigueur du nouveau règlement, il sera nécessaire de tenir un registre interne détaillé de toutes les actions de traitement des données personnelles (RAT) .
Les entreprises concernées sont :
- L’administration, les structures parapubliques, les entreprises ou organisations publics.
- Celles qui traitent des données sensibles ou relatives à des condamnations et infractions pénales, ainsi que celles qui traitent des données présentant un risque pour les droits et libertés.
- Celles de plus de 50 employés.
Désignation d’un délégué à la protection des données (DPD)
La principale modification apportée par la LQPD est la création d’une nouvelle figure : le délégué à la protection des données, qui pourra intégrer le personnel ou exercer ses fonctions par le biais d’un contrat de services.
Il sera obligatoire dans les organismes publics et parapublics. Au sein des entités privées, sa présence dépendra de la taille des entreprises et sera obligatoire pour le traitement de données sensibles à grande échelle. Lorsqu’il n’y aura pas d’obligation légale, l’entreprise pourra en désigner un volontairement.
Ses fonctions seront d’informer et de conseiller sur les obligations fixées par la loi et de contrôler leur application. Sa désignation devra être signalée à l’Agence andorrane de protection des données.
Malgré l’existence de cette figure, l‘entreprise reste responsable du respect de la réglementation.
L’analyse d’impact
La LQPD exige de mener à bien un processus pour identifier les possibles risques pour les droits et libertés des personnes concernées.
L’analyse d’impact est un rapport contenant une description détaillée du traitement et de la finalité pour laquelle il est effectué. Elle devra également évaluer la nécessité et la proportionnalité du traitement. Elle devra détailler les risques identifiés et les mesures de sécurité envisagées pour y faire face.
Idéalement, cette analyse devra être effectuée avant la mise en place de toute situation de traitement des données et devra être utilisée comme un guide. Dans le cas contraire, elle devrait être menée dès qu’un danger ou une erreur sera détecté dans la chaîne. Elle devra faire l’objet d’un suivi à chaque fois qu’une modification se présentera dans le traitement ou la législation.
Sanctions financières
La loi sur la protection des données prévoit un régime de sanctions avec des amendes supérieures à la loi de 2003.
Elle les qualifie de la manière suivante :
- Mineures : de 500 € à 15 000 €.
- Sérieuses : de 15 001 € à 30 000 €.
- Très graves : de 30 001 € à 100 000 €.
L’organe responsable d’émettre des avertissements et d’appliquer des sanctions financières aux entreprises privées est l’agence andorrane de protection des données. En revanche, concernant l’administration publique, l’ADPA peut uniquement signaler publiquement l’infraction dans le Bulletin Officiel et ouvrir un dossier, mais il n’y aura pas de sanction financière. Celle-ci est régie par son propre code de conduite disciplinaire.
Nouvelles compétences de l’ADPA
L’Agence andorrane de protection des données acquiert de nouvelles compétences en tant qu’autorité de contrôle indépendante, développées dans le texte du nouveau cadre réglementaire. Elles incluent notamment le contrôle du respect de la loi, l’étude de propositions d’amélioration, l’inspection et la sanction.
Cette loi obligera certainement les entreprises andorranes à effectuer des modifications pour s’adapter à son application. Chez Advantia Assesors, nous nous sommes déjà mis au travail pour continuer à garantir à nos clients particuliers et professionnels la confidentialité et la sécurité du traitement de leurs données.