Loi-type sur la protection desdonnées personnellesPrésentation de M. Jean-François LE BIHAN, Expert CEAConsultant principa...
IntroductionDans le cadre de l’étude de conformité des lois-types avec le projet deConvention, les points suivants ont été...
Niveau de concordance    Dispositions                                     Dispositions  uniquement dans                   ...
Niveau de conformitéEléments de divergence     3%Eléments de différence     2%Eléments de  variation     5%               ...
Point de divergence : Critères de dispense duconsentement pour le traitement de donnéesnon-sensibles     Avant-projet de l...
Point de divergence : Critères de dispense duconsentement pour le traitement de donnéesnon-sensiblesIl est recommandé de s...
Point de divergence : Pouvoir de fixer les catégoriesde traitements présentant des risques particuliersqui requièrent une ...
Point de divergence : Pouvoir de fixer les catégoriesde traitements présentant des risques particuliersqui requièrent une ...
Point de divergence : Exclusion des copiestemporaires dans les réseaux télécoms    Avant-projet de loi-type               ...
Point de différence : Exemption de notificationpour les personnes physiques dans le cadre deleurs activités personnelles o...
Point de différence : Exemption de notificationpour les personnes physiques dans le cadre deleurs activités personnelles o...
Point de différence: Règles dincompatibilité entre la fonction de membre de lautorité nationale et dautres fonctions      ...
Point de différence: Règles dincompatibilitéentre la fonction de membre de lautoriténationale et dautres fonctions       A...
Point de différence: Règles dincompatibilité entrela fonction de membre de lautorité nationale etdautres fonctions• Les cr...
Conclusion – Points de divergence• Les critères de dispense du consentement de la personne concernée  pour le traitement d...
Conclusion – Points de différence• L’exemption des personnes physiques dans le cadre exclusif de ses  activités personnell...
Jean-François LE BIHAN, Consultant principalCabinet EuroReg, 59 rue du X Octobre, L-7243 BéreldangeLuxembourg+352 661 82 4...
Prochain SlideShare
Chargement dans…5
×

EuroReg - Loi-type de la CEEAC sur la protection des données personnelles

474 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
474
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
3
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

EuroReg - Loi-type de la CEEAC sur la protection des données personnelles

  1. 1. Loi-type sur la protection desdonnées personnellesPrésentation de M. Jean-François LE BIHAN, Expert CEAConsultant principal, EuroReg, LuxembourgRéunion Ad-Hoc des Experts sur l’harmonisation des législations en matièrede TIC en Afrique centrale, Libreville, 25-26 février 2013
  2. 2. IntroductionDans le cadre de l’étude de conformité des lois-types avec le projet deConvention, les points suivants ont été relevés :• Points de divergence • Les critères de dispense du consentement de la personne concernée pour le traitement de données non-sensibles • Les pouvoirs de l’autorité nationale de fixer les catégories de traitements particulièrement risquées requérant une autorisation qu’elle délivre dans la loi-type sans équivalent dans la Convention • L’exclusion des copies temporaires faites dans les réseaux de communications électroniques pour gérer l’accès aux services qu’ils fournissent dans le projet de Convention absente de l’avant-projet de loi-type• Points de différence • L’exemption des personnes physiques dans le cadre exclusif de leurs activités personnelles ou domestiques de la notification à l’autorité nationale • Les règles dincompatibilité entre la fonction de membre de lautorité nationale et dautres fonctions
  3. 3. Niveau de concordance Dispositions Dispositions uniquement dans uniquement dans la Convention les lois-types 11% 58%Dispositions dansles lois-types et la Convention 31%• Son niveau de concordance, le plus élevé parmi les trois lois- types, a conduit à une étude approfondie d’un plus grand nombre de points
  4. 4. Niveau de conformitéEléments de divergence 3%Eléments de différence 2%Eléments de variation 5% Eléments de convergence 90% • Un niveau de conformité initial très élevé (95%) • Trois (3) points de divergence et deux (2) points de différence font l’objet d’une étude plus approfondie
  5. 5. Point de divergence : Critères de dispense duconsentement pour le traitement de donnéesnon-sensibles Avant-projet de loi-type Projet de Convention• Chapitre 4 : Principes auxquels le • Partie II : La protection des données à caractère traitement doit répondre personnel• Section 2 : Légitimité • Titre 4 : Les obligations relatives aux conditions• Sous-section 1 : Traitement portant sur des de traitements de données personnelles catégories non particulières de données • Chapitre 1 : Les principes de base gouvernant le• Article 5 traitement des données à caractère personnel• 1er alinéa • Article II-28• 3ème élément de la liste • 2ème alinéa • 4ème élément de la listeArticle 5 :1. Le traitement de données à caractère Article II - 28 :personnel non sensibles est, sans le caractère personnel estconsentement indubitable de la personne considéré comme légitime si la personne concernéeconcernée, autorisé sil est nécessaire: donne son consentement.[…] cette exigence duc. à la sauvegarde de lintérêt vital de la consentement lorsque le traitement est nécessaire :personne concernée […][…] 4) à la sauvegarde de l’intérêt ou des droits et libertés fondamentaux de la personne concernée. […]
  6. 6. Point de divergence : Critères de dispense duconsentement pour le traitement de donnéesnon-sensiblesIl est recommandé de supprimer « vital » et d’ajouter « des droits et libertésfondamentaux » dans l’avant-projet de loi-type.
  7. 7. Point de divergence : Pouvoir de fixer les catégoriesde traitements présentant des risques particuliersqui requièrent une autorisation Avant-projet de loi-type Projet de Convention• Chapitre 5 : Les obligations du • Partie II : La protection des données à responsable de traitement et du sous- caractère personnel traitant • Titre 2 : Le cadre juridique de la• Section 4 : Notification du traitement à protection des données à caractère lAutorité de contrôle personnel• Sous-section 5 : Autorisations • Chapitre 3 : Les formalités préalables à• Article 19 la mise en œuvre des traitements des• 1er alinéa données à caractère personnel • Article II-8Article 19 • 1er alinéa1. LAutorité de contrôle détermine lescatégories de traitements qui présentent Article II-8des risques particuliers au regard des droits Sont mis en œuvre après autorisation deet libertés fondamentaux des personnes l’autorité nationale de protection :concernées et qui requièrent une [5 types de traitements sont cités ici dans leautorisation de lAutorité de contrôle. projet de Convention][…]
  8. 8. Point de divergence : Pouvoir de fixer les catégoriesde traitements présentant des risques particuliersqui requièrent une autorisation• L’avant-projet de loi-type confère à l’autorité nationale le pouvoir de fixer les catégories de traitements qui présentent des risques particuliers au regard des droits et libertés fondamentaux pour lesquelles une autorisation préalable de cette même autorité est nécessaire.• La portée de cette disposition est considérable puisqu’elle donne la possibilité à l’autorité d’étendre son contrôle ex-ante des traitements de données personnelles.• Le plus important reste que les conditions a minima de la protection des données à caractère personnel telles que définies par le projet de Convention soient sauvegardées et c’est ici le cas.• Une mention des catégories établies par le projet de Convention devrait être ajoutée, soit explicitement, soit par un renvoi à l’article de la Convention afin de les limiter.
  9. 9. Point de divergence : Exclusion des copiestemporaires dans les réseaux télécoms Avant-projet de loi-type Projet de ConventionL’avant-projet de loi-type relative à la • Partie II : La protection des données à caractèreprotection des données à caractère personnelpersonnel ne prévoit pas de • Titre 2 : Le cadre juridique de la protection desrestriction de ce genre. données à caractère personnel • Chapitre 2 : Le champ dapplication de la Convention • Article II-4 • 1er alinéa • 2ème élément de la liste Article II-4 La présente Convention ne sapplique pas : […] 2) aux copies temporaires faites dans le cadre des activités techniques de transmission et de fournitureIl est recommandé d’ajouter ces daccès à un réseau numérique, en vue du stockagedispositions au texte de l’avant- automatique, intermédiaire et transitoire des données et à seule fin de permettre à dautres projet de loi-type destinataires du service le meilleur accès possible aux informations transmises.
  10. 10. Point de différence : Exemption de notificationpour les personnes physiques dans le cadre deleurs activités personnelles ou domestiques Avant-projet de loi-type Projet de Convention• Titre 1 : Dispositions communes à • Partie II : La protection des données à toutes les transactions électroniques caractère personnel• Chapitre 2 : Champ dapplication • Titre 2 : Le cadre juridique de la matériel protection des données à caractère• Article 2 : personnel• 2ème alinéa • Chapitre 2 : Le champ dapplication de la ConventionArticle 2 : • Article II-4[…] • 2ème alinéa2. La présente loi-type ne sapplique pas au Article II-4traitement de données à caractère La présente Convention ne sapplique pas :personnel effectué par une personne 1) aux traitements de données mis enphysique pour lexercice dactivités œuvre par une personne physique dans leexclusivement personnelles ou cadre exclusif de ses activités personnellesdomestiques. ou domestiques, à condition toutefois que[…] les données ne soient pas destinées à une communication systématique à des tiers ou à la diffusion ; […]
  11. 11. Point de différence : Exemption de notificationpour les personnes physiques dans le cadre deleurs activités personnelles ou domestiques• Le projet de Convention est plus exigeant que l’avant-projet de loi- type en matière de critères donnant droit à l’exemption. Il faudra donc reprendre ses dispositions.• Il est recommandé de reprendre le complément du projet de Convention dans l’avant-projet de la loi-type après s’être assuré que cela ne vient pas interférer avec d’autres processus juridiques.
  12. 12. Point de différence: Règles dincompatibilité entre la fonction de membre de lautorité nationale et dautres fonctions Avant-projet de loi-type Projet de Convention• Titre 1 : Dispositions communes à toutes les • Partie II : La protection des données à transactions électroniques caractère personnel• Chapitre 7 : LAutorité de contrôle • Titre 3 : Le cadre institutionnel de la• Section 1 : Constitution protection des données à caractère personnel• Article 29 • Chapitre 1 : Statut, composition et• 2ème alinéa organisation des autorités nationales de protection des données à caractère personnelArticle 29 • Article II-191. LAutorité de contrôle est composée de magistrats désignés par leurs pairs, de • 1er alinéa représentant désigné par le [Chef de lEtat ou du Gouvernement], de députés désignés Article II-19 par leurs pairs, de personnes désignées par La qualité de membre d’une autorité nationale de les associations nationales dans le domaine protection est incompatible avec la qualité de des droits fondamentaux de lhomme, de membre du Gouvernement, l’exercice des personnes désignées par les associations fonctions de dirigeants d’entreprise, [et] la nationales de professionnels de détention de participation dans les entreprises du technologies de linformation et de la secteur des technologies de l’information et de la communication. Ce sont les membres communication.. effectifs. […]
  13. 13. Point de différence: Règles dincompatibilitéentre la fonction de membre de lautoriténationale et dautres fonctions Avant-projet de loi-type• Titre 1 : Dispositions communes à toutes c. ne pas être membre dun organe de la CEMAC les transactions électroniques ou de la CEEAC ou des Chambres législatives• Chapitre 7 : LAutorité de contrôle hormis, pour ces dernières, des membres de• Section 1 : Constitution lAutorité de contrôle quelles nomment pour être effectif ou suppléant en vertu du présent article.• Article 29 d. [LEtat adoptant devra prévoir des règles• 2ème alinéa dincompatibilité entre la fonction de membre deArticle 29 lAutorité de contrôle et dautres fonctions ainsi[…] que des règles spécifiques pour éviter tout conflit2. Pour être nommés et rester dintérêts survenant avant ou en cours dexercicemembre, effectif ou suppléant, de lAutorité du mandat de membre de LAutorité de contrôle]de contrôle, les candidats doivent remplir les […]conditions suivantes :• a. être [nationalité du pays adoptant];• b. jouir de leurs droits civils et politiques;
  14. 14. Point de différence: Règles dincompatibilité entrela fonction de membre de lautorité nationale etdautres fonctions• Les critères d’incompatibilité entre la fonction de membre de l’autorité nationale et d’autres fonctions prévues dans le projet de Convention sont très étendus (membre du gouvernement, dirigeants d’entreprises et participations dans les entreprises du secteur des TIC).• Certaines règles d’incompatibilité de l’avant-projet de loi-type sont plus détaillées et viennent compléter celle du projet de Convention, comme par exemple ne pas être membre dun organe de la CEMAC ou de la CEEAC.• Cependant, les recouvrements et les exclusions réciproques entre les dispositions des deux documents requièrent une harmonisation.• Une mention des incompatibilités établies par le projet de Convention devrait être ajoutée dans la loi-type, soit de manière explicite, soit par un renvoi à l’article correspondant de la Convention.
  15. 15. Conclusion – Points de divergence• Les critères de dispense du consentement de la personne concernée pour le traitement de données non-sensibles • Recommandation n°2 : Supprimer « vital » et ajouter « des droits et libertés fondamentales » dans l’avant-projet de loi-type.• Les pouvoirs de l’autorité nationale de fixer les catégories de traitements présentant des risques particuliers et qui requièrent une autorisation qu’elle délivre dans l’avant-projet de loi-type et qui sont absents du projet de Convention • Recommandation n°3 : Ajouter une mention des catégories établies par le projet de Convention, soit explicitement, soit par un renvoi.• L’exclusion dans le projet de Convention des copies temporaires faites dans les réseaux de communications électroniques pour gérer l’accès aux services qu’ils fournissent mais qui n’est pas reprise dans l’avant-projet de loi-type • Recommandation n°4 : Ajouter ces dispositions au texte de l’avant- projet de loi-type.
  16. 16. Conclusion – Points de différence• L’exemption des personnes physiques dans le cadre exclusif de ses activités personnelles ou domestiques de la notification à l’autorité nationale • Recommandation n°8 : Reprendre le complément du projet de Convention dans l’avant-projet de la loi-type après s’être assuré que cela ne vient pas interférer avec d’autre processus juridiques• Les règles dincompatibilité entre la fonction de membre de lautorité nationale et dautres fonctions • Recommandation n°9 : Ajouter une mention des incompatibilités établies par le projet de Convention, soit de manière explicite, soit par un renvoi à l’article correspondant de la Convention
  17. 17. Jean-François LE BIHAN, Consultant principalCabinet EuroReg, 59 rue du X Octobre, L-7243 BéreldangeLuxembourg+352 661 82 40 20jflebihan@gmail.comMERCI – GRACIAS – OBRIGADO

×