Auteur/autrice : Thomás Gomes Pereira Prete

Avocat

Nouvelles étapes estratégiques concernant la confidentialité et la protection des données en Europe

19 de février, 2021

L’Union Européenne a révélé le 17 février 2021 son «Programme Pour un Multilatéralisme Renouvelé», un ensemble de propositions politiques visant à accroître son leadership et son influence dans des domaines mondiaux clés. Parmi sept objectifs pertinents et stratégiques, il a clairement identifié l’espace numérique comme l’une de ses priorités. L’UE prévoit d’établir des règles pour les nouvelles technologies numériques et cherchera à établir des partenariats stratégiques pour façonner l’agenda numérique mondial. Suivant le leadership de l’UE dans le cadre et la promotion de la protection des données avec le règlement général contraignant sur la protection des données (RGPD), la Commission européenne s’engagera en particulier dans le développement de cadres normatifs pour l’intelligence artificielle et dans la protection des droits de l’homme en ligne.

Dans le cadre d’une étape stratégique claire, l’UE a également déclaré son soutien à la feuille de route du secrétaire général des Nations Unies sur la coopération numérique, le « Plan d’action de coopération numérique » dévoilée en juin 2020. Essentiellement, la feuille de route des Nations Unies désigne huit domaines clés de l’espace numérique pour un développement prioritaire, tels que connectivité et internet pour tous; accès aux biens publics open source et numériques; inclusion numérique; renforcement des capacités numériques et formation; les droits humains numériques (en particulier la confidentialité et la protection des données, les limites de la surveillance et de la reconnaissance faciale, des outils pour lutter contre le harcèlement et la violence en ligne – principalement contre les femmes – et pour la gouvernance des contenus, une approche et des règles claires pour l’intelligence artificielle), ainsi que la sécurité numérique et la confiance et enfin la coopération numérique mondiale – en créant des canaux efficaces et inclusifs permettant à davantage de pays et d’associations de participer aux discussions.

Il convient de noter que l’Europe a été à l’avantgarde et de la protection des données. La jurisprudence de la Cour européenne des droits de l’homme est cohérente dans son interprétation de la Convention européenne des droits de l’homme, quant à l’examen du droit à la confidentialité des données contenu dans le «droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance» (Article 8). Dans un grand pas en avant, la Charte des droits fondamentaux de l’Union européenne prévoit expressément la protection des données à caractère personnel en tant que droit de l’homme («Toute personne a droit à la protection des données à caractère personnel la concernant» – article 8, 1) , fournit les principes sous-jacents pour protéger ce droit, fixe les limites du traitement des données et ajoute des droits pour son bon exercice (en établissant le droit d’accès et également le droit de rectifier ses propres données au paragraphe 2).

Les développements juridiques les plus récents de l’UE dans le domaine numérique comprennent des négociations finales pour un règlement spécifique – de nature contraignante en vertu du droit de l’UE, tout comme le RGPD – concernant la vie privée dans le domaine des services de communications électroniques dans l’Union (le règlement sur la confidentialité en ligne). Son projet a été présenté le 6 janvier 2021 par la présidence portugaise de l’UE après des tentatives infructueuses au cours des deux dernières années par d’autres présidences et est actuellement en discussion.

Une fois que le règlement sur la confidentialité en ligne sera approuvé, il remplacera l’actuelle directive sur la confidentialité en ligne (2002/58/CE), qui repose sur le droit des États membres pour être efficace et, dans une certaine mesure, n’a pas été en mesure d’assurer l’uniformité de l’interprétation et de l’application. au sein de l’Union. Le règlement sur la confidentialité en ligne fournira de nouvelles règles uniformes pour la confidentialité des communications et le traitement des métadonnées, pour la surveillance et le suivi des données à l’aide de cookies et pour l’intégrité des appareils, avec un champ d’application étendu qui complète le RGPD existant. Ce cadre devait en effet entrer en vigueur en conjonction avec le RGPD en 2018 mais il a été reporté faute d’accord.

On doit citer la modernisation de 2018 de la Convention 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, datée du 27 janvier 1981, telle qu’elle a été modifiée par sa Protocole STCE n. 223 – puis renomée Convention 108+. La Convention 108 a été considérée comme la référence de la législation sur la protection des données dans de nombreux pays européens (avec 47 ratifications) et la référence pour les diplômes européens ultérieurs, aboutissant au RGPD. Sa version modernisée Convention 108+ est ouverte à la signature et aux ratifications.

La plupart des réglementations de l’UE dans ce domaine exigent une conformité extraterritoriale, telle que le RGPD, pour ceux qui proposent des biens ou des services aux résidents de l’Union européenne. Les entreprises étrangères et les particuliers souhaitant bénéficier du marché de l’Union européenne devront acquérir des connaissances pratiques et professionnelles des règles de l’UE et devront en conséquence faire adapter leurs pratiques et processus. Le respect de ces règles de l’UE est également une preuve claire de bonnes pratiques et du respect des données personnelles et de la vie privée.

Nous prévoyons de suivre les développements sur le règlement et sur la confidentialité électronique et de faire rapport sur les discussions clés pour son approbation, de comprendre les prochaines étapes du débat sur un cadre d’intelligence artificielle et de clarifier les initiatives spécifiques de l’UE liées à la feuille de route des Nations Unies sur la coopération numérique.

Notes succinctes sur le devoir de protection des données au Brésil – pourquoi, qui devrait, comment et quand s’adapter?

18 de novembre, 2020

La nouvelle loi générale brésilienne sur la protection des données – LGPD – dans ce texte appelé «loi» pour faciliter la lecture – est déjà partiellement en vigueur. Il provient du règlement général européen sur la protection des données – GDPR – en vigueur depuis 2018 dans l’Union européenne, dans lequel il présente de nombreuses similitudes. Notre propos ici est de chercher à répondre très brièvement aux questions les plus objectives sur la loi afin de fournir au lecteur une introduction au sujet.

Cette loi a pour objectif d’accroître la sécurité des données des individus et leur protection, qui sont en possession d’entités et de professionnels, afin de protéger les droits fondamentaux de la liberté et de la vie privée et de permettre le libre développement de sa personnalité. Concrètement, la loi vise à protéger les données des personnes contre les violations, les collectes ou les échanges non autorisés et l’utilisation abusive de ces données, dans un environnement numérique de plus en plus désireux de traiter les informations pour les raisons les plus diverses, souvent indépendantes du contrôle des personnes.

Il est important de préciser que les personnes physiques, si elles utilisent des données à des fins professionnelles ou commerciales (avocats, comptables, médecins, dentistes, psychologues, thérapeutes corporels, représentants commerciaux, enseignants privés, entre autres), ainsi que toutes les personnes morales et collectives (telles que les sociétés à responsabilité limitée et leurs filiales, les magasins, les usines et également les sociétés, les représentations commerciales, les cliniques, les hôpitaux, les églises, les partis politiques, les universités, les écoles, les associations, etc.) doivent se conformer à la loi. Il y a très peu d’exceptions qui s’appliquent.

La réponse sur la manière de s’adapter à la loi signifie avant tout comprendre quelles données sont actuellement traitées et comment elles doivent être traitées en vertu de la loi. Le critère qui détermine l’adéquation au système de traitement actuel est la nature des données analysées, qui sont directement liées à l’activité professionnelle. En effet, la LGPD établit clairement deux ensembles de données à traiter différemment: la norme la plus courante – «données personnelles» et, qu’elle contient et en tant que sous-ensemble, soumise à des règles de traitement encore plus strictes, la norme des données personnelles «sensibles».

Les données «personnelles» selon la loi sont celles relatives aux personnes physiques identifiées ou identifiables. Autrement dit, tout ce que l’on sait d’une personne que nous permettra potentiellement de l’individualiser. Ainsi, le numéro de registre des contribuables brésilien (CPF), les adresses personnelles et professionnelles, le nom complet, le numéro de téléphone, mais aussi les informations permettant une identification plus approfondie, comme l’appartenance à un club ou à une confrérie, sont des données personnelles.

Les données personnelles «sensibles» selon la loi font référence aux données sur l’origine raciale ou ethnique de l’individu, ses convictions religieuses, ses opinions politiques, son appartenance à un syndicat ou à une organisation de nature religieuse, philosophique ou politique, des données relatives à sa santé ou sa vie sexuelle, ou génétique ou des données biométriques, lorsqu’elles sont liées à une personne physique. On en déduit évidemment que les informations issues des dossiers médicaux et dentaires sont à considérer comme «sensibles», mais aussi les photos, images, voix, iris et empreintes digitales, par exemple.

Une fois la typologie clarifiée, l’avocat pourra conseiller le client en consultation sur la mesure et la nécessité de modifier les processus afin de respecter le devoir de protection des données personnelles et le devoir de protection des données personnelles sensibles. Il y aura des cas dans lesquels il suffira d’établir des protocoles simples de protection, d’autres qui nécessiteront de nouvelles règles internes, de nouvelles procédures et de nouveaux contrats avec des tiers. Le client définira l’investissement à assumer pour le traitement et la protection recommandés. La mesure soumise à mise en œuvre doit être directement liée à l’objectif de la loi, c’est-à-dire assurer la sécurité et la confidentialité des données qu’elle protège.

Il y a toujours une perception que la loi n’est pas exactement en vigueur. En effet, dans la loi, l’autorité de contrôle à créer (Agence nationale de protection des données – ANPD) n’aurait été nommée et installée que récemment pour remplir ses fonctions, et aussi parce que la loi prévoit l’application des réprimandes légales et des amendes administratives prévues ( pouvant atteindre 50 millions de reais) à partir d’août 2021 seulement. Néanmoins, cette interprétation est dangereuse et expose les personnes et les entreprises à des risques juridiques inutiles.

La loi s’applique immédiatement au traitement et à l’échange de données dans le secteur privé et aux relations commerciales et professionnelles entre les personnes et les personnes morales situées au Brésil et à l’étranger, et établit les principes, les devoirs et les règles pour le traitement des données auxquelles elle se réfère, tous actuellement en vigueur. Et puisque chaque devoir correspond à une responsabilité, dans tous les cas la violation du devoir de protection requis par la loi, une fois la cause et le dommage avérés, obligera l’indemnisation du lésé.

Il appartiendra au juge, dans le cas concret, de décider de l’attribution de la responsabilité de la violation malgré la preuve de la culpabilité de l’entreprise, lorsqu’il ne demande à la personne lésée que la preuve du dommage elle-même, ou si la personne lésée devra fournir la preuve de la violation comme cause probable du dommage. Dans ce dernier cas, la personne lésée devra démontrer que la violation résulte d’un acte ou d’une omission involontaire (mais prévisible et évitable), ou d’une négligence dans le traitement ou d’un manque de technique correcte appliquée au cas qui, en raison du non-respect de l’obligation légale, est à son tour avérée être la cause du dommage.

Dans la pratique, nous prévoyons une tendance pour un plus grand nombre de décisions à exiger que la personne lésée n’ait à prouver que le dommage subi et à l’exempter d’avoir à prouver la culpabilité de l’entité à l’origine du dommage. En fait, il existe de nombreuses situations dans lesquelles il est relativement facile de démontrer par des documents la divulgation ou la fuite de données précédemment protégées, sans nécessairement recourir à des procédures plus complexes avec des experts, des témoins et des preuves. Il est à noter que la responsabilité découlant de cette violation, dans tous les cas, sera attribuée à l’entité juridique qui contrôle les données, malgré les engagements d’externalisation.

La loi permet également au juge et à l’autorité de contrôle d’atténuer les sanctions en cas de violation par des entités qui prouvent l’équité, la conformité et la bonne foi dans leurs opérations, c’est-à-dire si, malgré la violation, l’entité est en mesure de démontrer qu’elle a utilisé le meilleures pratiques et systèmes dans la direction opposée. Une mise en œuvre rapide est donc également un argument efficace pour atténuer les risques financiers.

Nous comprenons que le potentiel de futures sanctions administratives par l’autorité de contrôle, applicables à partir d’août 2021, n’est pas le cadre absolu et pertinent pour imposer le respect de la loi. Nous recommandons aux entités soumises à la loi de revoir – avec leurs avocats de confiance – la manière dont elles traitent et protègent les données des tiers sous leur garde, afin de réduire voire d’éliminer le risque de violation éventuelle d’une obligation légale déjà en vigueur.