EuroReg - Loi-type de la CEEAC sur la protection des données personnelles
1. Loi-type sur la protection des
données personnelles
Présentation de M. Jean-François LE BIHAN, Expert CEA
Consultant principal, EuroReg, Luxembourg
Réunion Ad-Hoc des Experts sur l’harmonisation des législations en matière
de TIC en Afrique centrale, Libreville, 25-26 février 2013
2. Introduction
Dans le cadre de l’étude de conformité des lois-types avec le projet de
Convention, les points suivants ont été relevés :
• Points de divergence
• Les critères de dispense du consentement de la personne concernée
pour le traitement de données non-sensibles
• Les pouvoirs de l’autorité nationale de fixer les catégories de
traitements particulièrement risquées requérant une autorisation
qu’elle délivre dans la loi-type sans équivalent dans la Convention
• L’exclusion des copies temporaires faites dans les réseaux de
communications électroniques pour gérer l’accès aux services qu’ils
fournissent dans le projet de Convention absente de l’avant-projet de
loi-type
• Points de différence
• L’exemption des personnes physiques dans le cadre exclusif de leurs
activités personnelles ou domestiques de la notification à l’autorité
nationale
• Les règles d'incompatibilité entre la fonction de membre de l'autorité
nationale et d'autres fonctions
3. Niveau de concordance
Dispositions Dispositions
uniquement dans uniquement dans
la Convention les lois-types
11% 58%
Dispositions dans
les lois-types et la
Convention
31%
• Son niveau de concordance, le plus élevé parmi les trois lois-
types, a conduit à une étude approfondie d’un plus grand
nombre de points
4. Niveau de conformité
Eléments de
divergence
3%
Eléments de
différence
2%
Eléments de
variation
5%
Eléments de
convergence
90%
• Un niveau de conformité initial très élevé (95%)
• Trois (3) points de divergence et deux (2) points de différence
font l’objet d’une étude plus approfondie
5. Point de divergence : Critères de dispense du
consentement pour le traitement de données
non-sensibles
Avant-projet de loi-type Projet de Convention
• Chapitre 4 : Principes auxquels le • Partie II : La protection des données à caractère
traitement doit répondre personnel
• Section 2 : Légitimité • Titre 4 : Les obligations relatives aux conditions
• Sous-section 1 : Traitement portant sur des de traitements de données personnelles
catégories non particulières de données • Chapitre 1 : Les principes de base gouvernant le
• Article 5 traitement des données à caractère personnel
• 1er alinéa • Article II-28
• 3ème élément de la liste • 2ème alinéa
• 4ème élément de la liste
Article 5 :
1. Le traitement de données à caractère Article II - 28 :
personnel non sensibles est, sans le caractère personnel est
consentement indubitable de la personne considéré comme légitime si la personne concernée
concernée, autorisé s'il est nécessaire: donne son consentement.
[…] cette exigence du
c. à la sauvegarde de l'intérêt vital de la consentement lorsque le traitement est nécessaire :
personne concernée […]
[…] 4) à la sauvegarde de l’intérêt ou des droits et
libertés fondamentaux de la personne concernée. […]
6. Point de divergence : Critères de dispense du
consentement pour le traitement de données
non-sensibles
Il est recommandé de supprimer « vital » et d’ajouter « des droits et libertés
fondamentaux » dans l’avant-projet de loi-type.
7. Point de divergence : Pouvoir de fixer les catégories
de traitements présentant des risques particuliers
qui requièrent une autorisation
Avant-projet de loi-type Projet de Convention
• Chapitre 5 : Les obligations du • Partie II : La protection des données à
responsable de traitement et du sous- caractère personnel
traitant • Titre 2 : Le cadre juridique de la
• Section 4 : Notification du traitement à protection des données à caractère
l'Autorité de contrôle personnel
• Sous-section 5 : Autorisations • Chapitre 3 : Les formalités préalables à
• Article 19 la mise en œuvre des traitements des
• 1er alinéa données à caractère personnel
• Article II-8
Article 19 • 1er alinéa
1. L'Autorité de contrôle détermine les
catégories de traitements qui présentent Article II-8
des risques particuliers au regard des droits Sont mis en œuvre après autorisation de
et libertés fondamentaux des personnes l’autorité nationale de protection :
concernées et qui requièrent une [5 types de traitements sont cités ici dans le
autorisation de l'Autorité de contrôle. projet de Convention]
[…]
8. Point de divergence : Pouvoir de fixer les catégories
de traitements présentant des risques particuliers
qui requièrent une autorisation
• L’avant-projet de loi-type confère à l’autorité nationale le pouvoir de
fixer les catégories de traitements qui présentent des risques
particuliers au regard des droits et libertés fondamentaux pour
lesquelles une autorisation préalable de cette même autorité est
nécessaire.
• La portée de cette disposition est considérable puisqu’elle donne la
possibilité à l’autorité d’étendre son contrôle ex-ante des
traitements de données personnelles.
• Le plus important reste que les conditions a minima de la protection
des données à caractère personnel telles que définies par le projet
de Convention soient sauvegardées et c’est ici le cas.
• Une mention des catégories établies par le projet de Convention
devrait être ajoutée, soit explicitement, soit par un renvoi à l’article
de la Convention afin de les limiter.
9. Point de divergence : Exclusion des copies
temporaires dans les réseaux télécoms
Avant-projet de loi-type Projet de Convention
L’avant-projet de loi-type relative à la • Partie II : La protection des données à caractère
protection des données à caractère personnel
personnel ne prévoit pas de • Titre 2 : Le cadre juridique de la protection des
restriction de ce genre. données à caractère personnel
• Chapitre 2 : Le champ d'application de la
Convention
• Article II-4
• 1er alinéa
• 2ème élément de la liste
Article II-4
La présente Convention ne s'applique pas : […]
2) aux copies temporaires faites dans le cadre des
activités techniques de transmission et de fourniture
Il est recommandé d’ajouter ces d'accès à un réseau numérique, en vue du stockage
dispositions au texte de l’avant- automatique, intermédiaire et transitoire des
données et à seule fin de permettre à d'autres
projet de loi-type destinataires du service le meilleur accès possible
aux informations transmises.
10. Point de différence : Exemption de notification
pour les personnes physiques dans le cadre de
leurs activités personnelles ou domestiques
Avant-projet de loi-type Projet de Convention
• Titre 1 : Dispositions communes à • Partie II : La protection des données à
toutes les transactions électroniques caractère personnel
• Chapitre 2 : Champ d'application • Titre 2 : Le cadre juridique de la
matériel protection des données à caractère
• Article 2 : personnel
• 2ème alinéa • Chapitre 2 : Le champ d'application de
la Convention
Article 2 : • Article II-4
[…] • 2ème alinéa
2. La présente loi-type ne s'applique pas au Article II-4
traitement de données à caractère La présente Convention ne s'applique pas :
personnel effectué par une personne 1) aux traitements de données mis en
physique pour l'exercice d'activités œuvre par une personne physique dans le
exclusivement personnelles ou cadre exclusif de ses activités personnelles
domestiques. ou domestiques, à condition toutefois que
[…] les données ne soient pas destinées à une
communication systématique à des tiers ou
à la diffusion ; […]
11. Point de différence : Exemption de notification
pour les personnes physiques dans le cadre de
leurs activités personnelles ou domestiques
• Le projet de Convention est plus exigeant que l’avant-projet de loi-
type en matière de critères donnant droit à l’exemption. Il faudra
donc reprendre ses dispositions.
• Il est recommandé de reprendre le complément du projet de
Convention dans l’avant-projet de la loi-type après s’être assuré que
cela ne vient pas interférer avec d’autres processus juridiques.
12. Point de différence: Règles d'incompatibilité
entre la fonction de membre de l'autorité
nationale et d'autres fonctions
Avant-projet de loi-type Projet de Convention
• Titre 1 : Dispositions communes à toutes les • Partie II : La protection des données à
transactions électroniques caractère personnel
• Chapitre 7 : L'Autorité de contrôle • Titre 3 : Le cadre institutionnel de la
• Section 1 : Constitution protection des données à caractère personnel
• Article 29 • Chapitre 1 : Statut, composition et
• 2ème alinéa organisation des autorités nationales de
protection des données à caractère personnel
Article 29
• Article II-19
1. L'Autorité de contrôle est composée de
magistrats désignés par leurs pairs, de • 1er alinéa
représentant désigné par le [Chef de l'Etat
ou du Gouvernement], de députés désignés Article II-19
par leurs pairs, de personnes désignées par La qualité de membre d’une autorité nationale de
les associations nationales dans le domaine protection est incompatible avec la qualité de
des droits fondamentaux de l'homme, de membre du Gouvernement, l’exercice des
personnes désignées par les associations fonctions de dirigeants d’entreprise, [et] la
nationales de professionnels de détention de participation dans les entreprises du
technologies de l'information et de la secteur des technologies de l’information et de la
communication. Ce sont les membres communication..
effectifs. […]
13. Point de différence: Règles d'incompatibilité
entre la fonction de membre de l'autorité
nationale et d'autres fonctions
Avant-projet de loi-type
• Titre 1 : Dispositions communes à toutes c. ne pas être membre d'un organe de la CEMAC
les transactions électroniques ou de la CEEAC ou des Chambres législatives
• Chapitre 7 : L'Autorité de contrôle hormis, pour ces dernières, des membres de
• Section 1 : Constitution l'Autorité de contrôle qu'elles nomment pour être
effectif ou suppléant en vertu du présent article.
• Article 29
d. [L'Etat adoptant devra prévoir des règles
• 2ème alinéa d'incompatibilité entre la fonction de membre de
Article 29 l'Autorité de contrôle et d'autres fonctions ainsi
[…] que des règles spécifiques pour éviter tout conflit
2. Pour être nommés et rester d'intérêts survenant avant ou en cours d'exercice
membre, effectif ou suppléant, de l'Autorité du mandat de membre de L'Autorité de contrôle]
de contrôle, les candidats doivent remplir les […]
conditions suivantes :
• a. être [nationalité du pays adoptant];
• b. jouir de leurs droits civils et politiques;
14. Point de différence: Règles d'incompatibilité entre
la fonction de membre de l'autorité nationale et
d'autres fonctions
• Les critères d’incompatibilité entre la fonction de membre de
l’autorité nationale et d’autres fonctions prévues dans le projet de
Convention sont très étendus (membre du
gouvernement, dirigeants d’entreprises et participations dans les
entreprises du secteur des TIC).
• Certaines règles d’incompatibilité de l’avant-projet de loi-type sont
plus détaillées et viennent compléter celle du projet de
Convention, comme par exemple ne pas être membre d'un organe
de la CEMAC ou de la CEEAC.
• Cependant, les recouvrements et les exclusions réciproques entre
les dispositions des deux documents requièrent une harmonisation.
• Une mention des incompatibilités établies par le projet de
Convention devrait être ajoutée dans la loi-type, soit de manière
explicite, soit par un renvoi à l’article correspondant de la
Convention.
15. Conclusion – Points de divergence
• Les critères de dispense du consentement de la personne concernée
pour le traitement de données non-sensibles
• Recommandation n°2 : Supprimer « vital » et ajouter « des droits et
libertés fondamentales » dans l’avant-projet de loi-type.
• Les pouvoirs de l’autorité nationale de fixer les catégories de
traitements présentant des risques particuliers et qui requièrent une
autorisation qu’elle délivre dans l’avant-projet de loi-type et qui sont
absents du projet de Convention
• Recommandation n°3 : Ajouter une mention des catégories établies
par le projet de Convention, soit explicitement, soit par un renvoi.
• L’exclusion dans le projet de Convention des copies temporaires
faites dans les réseaux de communications électroniques pour gérer
l’accès aux services qu’ils fournissent mais qui n’est pas reprise dans
l’avant-projet de loi-type
• Recommandation n°4 : Ajouter ces dispositions au texte de l’avant-
projet de loi-type.
16. Conclusion – Points de différence
• L’exemption des personnes physiques dans le cadre exclusif de ses
activités personnelles ou domestiques de la notification à l’autorité
nationale
• Recommandation n°8 : Reprendre le complément du projet de
Convention dans l’avant-projet de la loi-type après s’être assuré que cela
ne vient pas interférer avec d’autre processus juridiques
• Les règles d'incompatibilité entre la fonction de membre de
l'autorité nationale et d'autres fonctions
• Recommandation n°9 : Ajouter une mention des incompatibilités établies
par le projet de Convention, soit de manière explicite, soit par un renvoi à
l’article correspondant de la Convention
17. Jean-François LE BIHAN, Consultant principal
Cabinet EuroReg, 59 rue du X Octobre, L-7243 Béreldange
Luxembourg
+352 661 82 40 20
jflebihan@gmail.com
MERCI – GRACIAS – OBRIGADO