Les autorités de protection des données personnelles...
53
Les autorités de protection des données personnelles dans l’espace francophone Projet de rapport M. Josué Mbadinga Mbadinga Sénateur (Gabon) Vice-Président de la Commission et M. Imbassou Ouattara Abbas Député (Côte d’Ivoire) Rapporteurs Luxembourg (Luxembourg) | 9 juillet 2017
Transcript of Les autorités de protection des données personnelles...
Les autorités de protection des données personnelles dans l’espace francophone
Projet de rapport
M. Josué Mbadinga Mbadinga Sénateur (Gabon)
Vice-Président de la Commission
et
M. Imbassou Ouattara Abbas Député (Côte d’Ivoire)
Rapporteurs
Luxembourg (Luxembourg) | 9 juillet 2017
2
Les autorités de protection des données personnelles dans l’espace francophone
Projet de rapport
Présenté par
M. Josué MBADINGA MBADINGA Sénateur (Gabon)
Vice-Président de la Commission
et
M. N (Côte d’Ivoire)
Rapporteurs
Hô-Chi-M inh-V ille (V ietnam) | 24 et 25 mars 2017
Les autorités de protection des données personnelles dans l’espace francophone
Projet de rapport
Présenté par :
M. Josué MBADINGA MBADINGA Sénateur (Gabon)
Vice-Président de la Commission
et
M. Nguessan KOUAME Député (Côte d’Ivoire)
Rapporteurs
ANTANANARIVO (Madagascar) | 10 juillet 2016
4
Introduction
Le développement des technologies de l’information et de la
communication et leur diffusion rapide à travers le monde ont révolutionné le
quotidien de l’homme dans tous les secteurs d’activités.
L’accès à ces technologies, le recours aux services multiformes qu’elles
offrent pose toutefois aujourd’hui avec acuité le problème de la protection
des droits des personnes et de leur vie privée.
En effet, les Etats sont de plus en plus confrontés aux abus de toute sorte liés
à l’utilisation des données personnelles. La lutte contre la cybercriminalité est
devenue une préoccupation mondiale. De nombreux défis interpellent à cet
égard la communauté internationale. Ils concernent essentiellement la
protection des droits fondamentaux, la sécurité des biens, des personnes et
des Etats.
Si la volonté de faire face à ces défis est unanimement partagée, il n’en
demeure pas moins que les disparités existant entre les Etats en matière de
progrès technologiques, de ressources humaines et budgétaires ne
permettent pas toujours d’atteindre les résultats escomptés sur l’ensemble de
l’espace francophone.
Aussi, parait-il judicieux d’initier des rencontres et des actions afin de pallier
ces manquements par le partage d’expériences et à travers des
recommandations. Tel est le sens de ce rapport initié par l’Assemblée
Parlementaire de la Francophonie (APF).
Contexte du rapport
Aux termes de l’article 12.7 du règlement de l’APF : « les commissions
déterminent les sujets d’intérêt de leur compétence en prenant en compte
les priorités arrêtées par le Sommet. Elles établissent des rapports sur les
questions étudiées. Elles peuvent proposer à l’Assemblée plénière des
motions, résolutions, avis ou recommandations qui sont présentés par le
5
Président et le rapporteur de la commission concernée. Elles peuvent
adopter des Déclarations par consensus dans l’intervalle des Assemblées
plénières ». En application de cet article, le projet d’établir un rapport sur « les
Autorités de Protection des Données Personnelles (APDP) dans l’espace
francophone » a été proposé par le rapporteur et validé par les instances de
la Commission des Affaires Parlementaires (CAP) et celles de l’APF.
A l’instar des autres rapports établis par les différentes Commissions, celui-ci
est une contribution à la mise en œuvre effective des grandes orientations
définies dans les objectifs de l’APF. A travers donc ces rapports, les
Commissions participent à la vie institutionnelle de la Francophonie de par
leurs avis et recommandations à la Conférence ministérielle et au Conseil
permanent de la Francophonie sur les questions relatives à « la promotion de
la démocratie, de l’Etat de droit et des droits de la personne, plus
particulièrement au sein de la communauté francophone ».
Objectifs du rapport
L’enquête initiée par l’APF pour mieux cerner ce problème de la protection
des données à caractère personnel est d’un grand intérêt, dans la mesure
où elle permettra de contribuer à la recherche des voies et moyens
susceptibles d’améliorer les systèmes de protection des données
personnelles. Pour ce faire, le présent rapport vise à passer en revue les
différentes Autorités de protection des données personnelles dans l’espace
francophone, en mettant l’accent sur le cadre juridique les régissant et sur
leur fonctionnement en référence à certains critères établis par les
organismes internationaux à cet effet.
Méthodologie
Le présent rapport résulte de l’analyse des informations mises à disposition
par les différentes sessions membres de la Commission des Affaires
Parlementaires suite au questionnaire qui leur a été adressé par voie
6
électronique. En outre, une revue de littérature sur les APDP, a permis de
compléter éventuellement certaines informations contenues dans les
réponses au questionnaire.
Sur l’ensemble des sections (81) ayant reçu le questionnaire, seulement 13
ont renvoyé un questionnaire renseigné. Il s’agit du Canada, de la France, la
Suisse, la Belgique, le Québec, le Sénégal, le Mali, le Gabon, la Tunisie,
Andorre, la Vallée d’Aoste, la Roumanie et de la Côte d’Ivoire.
Le questionnaire a été dépouillé et analysé aux fins de dégager les éléments
de synthèse concernant le cadre législatif, l’existence des APDP, leur
fonctionnement et caractéristiques dans les différents pays dont les sections
ont répondu audit questionnaire.
Aux fins de la rédaction de ce rapport, la méthodologie retenue consiste
donc à comparer les systèmes de protection des données personnelles en
vigueur au sein de l’espace francophone. Une telle approche vise, non
seulement à mettre en relief les similitudes et les particularités de ces
systèmes au niveau du cadre juridique et des APDP, mais également à élargir
la réflexion sur les perspectives de leur efficacité.
Le rapport s’articule autour de trois grandes parties :
I. Cadre juridique (dispositions internationales, régionales et nationales)
sur la protection des données personnelles dans l’espace francophone.
II. Présentation des Autorités de protection des données personnelles
dans l’espace francophone.
III. Attentes des pays francophones en matière de protection des
données personnelles.
Dans la première partie, il s’agit de dresser un état des lieux sur la législation
internationale, régionale et nationale relative à la protection des données
personnelles dans l’espace francophone.
7
Dans la deuxième partie, il s’agit de faire une présentation des différentes
autorités de protection des données personnelles dans l’espace
francophone en mettant l’accent sur leur organisation et fonctionnement.
A la lumière de ce diagnostic, il conviendra d’aborder dans la troisième
partie les attentes des pays francophones sur cette question en ce qui
concerne notamment la réduction du fossé numérique entre les régions, la
solidarité des Etats et le rôle des parlementaires
Cependant, compte du nombre minoritaire des réponses enregistrées et du
retard accusé dans la transmission des contributions, il est présenté ici, les
grandes tendances qui se dégagent des premiers résultats.
8
Première partie
CCAADDRREE JJUURRIIDDIIQQUUEE SSUURR LLAA PPRROOTTEECCTTIIOONN DDEESS DDOONNNNEEEESS
PPEERRSSOONNNNEELLLLEESS DDAANNSS LL’’EESSPPAACCEE FFRRAANNCCOOPPHHOONNEE
9
I. Cadre juridique national
La plus part des sections (12 sur 13) ayant répondu au questionnaire sauf la
Valée d’Aoste, disposent d’un cadre juridique national de protection des
données personnelles. Ce corpus juridique est composé des transpositions
internationales d’une part, et de lois nationales spécifiques d’autre part.
I.1. Transpositions internationales
En tant qu'instruments-cadres, les différents textes internationaux devaient
être mis en œuvre au moyen de lois nationales adoptées dans les États
membres. Ces différentes législations issues des transpositions internationales
sont relativement récentes. Celles recensées au travers des réponses fournies
sont les suivantes :
- la loi canadienne sur les droits de la personne de 1977 ;
- la loi n°78-17 du 6 janvier 1978 « Informatique et libertés » (France) ;
- la loi sur l’accès aux documents des organismes publics et sur la protection
des renseignements personnels de 1982 (Québec) ;
- la loi fédérale sur la protection des données ou LPD du 19 juin 1992 (Suisse) ;
- la loi de 1992 sur la protection de la vie privée des personnes physiques à
l’égard des traitements de données personnelles (Belgique) ;
- la loi sur la protection des renseignements personnels dans le secteur privé
de 1993 (Québec) ;
- la loi sur la protection des renseignements personnels ou LPRP et la loi sur la
protection des renseignements personnels et les documents électroniques ou
LPRPDE, adoptée en 2001 (Canada) ;
- la loi 677/2001 relative à la protection des personnes à l’égard du
traitement des données à caractère personnel et la libre circulation de ces
données (Roumanie) ;
- le DL italien n°196 du 30 juin 2003 relatif à la protection des données
personnelles et au traitement des données (applicable dans la Vallée
10
d’Aoste) ;
- la loi n°15/2003 du 18 décembre 2003 relative à la protection des données
à caractère personnel (Andorre) ;
- la loi n°2008-12 du 25 janvier 2008 (Sénégal) ;
- la loi n°1/2011 relative du 25 septembre 2011 relative à la protection des
données à caractère personnel (Gabon) ;
- la loi n° la loi n°2013-450 du 19 juin 2013 relative à la protection des données
à caractère personnel (Côte d’Ivoire).
Les plus anciens parmi lesdits textes sont ceux du Canada, de la France, du
Québec, de la Suisse et de la Belgique.
I. 2. Législation nationale ou spécificités nationales
Les différents cadres constitutionnels, institutionnels et juridiques sont
naturellement liés à l'histoire de chaque pays. En effet, la mise en œuvre des
textes internationaux tend à combler les écarts entre les législations
nationales, sans toutefois effacer complètement leurs caractéristiques, du fait
de la marge d’appréciation laissée par ces textes, d’une mise en œuvre peu
adéquate, et de l'interprétation nationale des principes - d'autant plus que,
dans chaque cas la pression de l'opinion publique peut conduire à des
changements au niveau réglementaire ou législatif et influencer les
pratiques.
L’examen de la transposition des directives montre qu'il existe une marge de
manœuvre au niveau national soit pour renforcer les contrôles et les options
sécuritaires et/ou pour permettre une gestion des données très libérale, soit
pour donner la priorité à la protection des données personnelles. De ce fait,
à travers les différentes réponses, certains pays ont adopté des textes
spécifiques dans ce sens.
Tel est le cas à Andorre où deux décrets d’application de la loi sur la
protection des données à caractère personnel ont été pris. Il s’agit du décret
du 1er juillet 2004 instituant le registre public pour l’inscription des fichiers
contenant des données à caractère personnel et du décret du 9 juin 2010
11
portant sur l’approbation du règlement de l’Agence andorrane de
sécurisation des données (APDA).
La constitution de la Roumanie, adoptée en 1991 reconnaît, en vertu du titre
ii (droits fondamentaux, libertés et devoirs) le droit à la vie privée, l'inviolabilité
du domicile et la liberté de conscience et d'expression.
En France, les droits proclamés dans la déclaration des droits de l'Homme et
du citoyen de 1789 sont garantis par la constitution.
En Tunisie, un corpus juridique assez fourni protège les données personnelles
notamment la constitution de 1959 qui dispose en son article 9 que : «
L'inviolabilité du domicile, le secret de la correspondance et la protection
des données personnelles sont garantis » et l’article 24 de la Constitution de
2014, dispose que: « L’État protège la vie privée, l’inviolabilité du domicile et
le secret des correspondances, des communications et des données
personnelles », la loi organique relative à l’'Instance Supérieure Indépendante
pour les Élections (ISIE), la loi organique relative à la justice transitionnelle
créant l’Instance de Vérité et de dignité (IVD), la loi organique n° 2013-43 du
23 octobre 2013, relative à l’instance nationale pour la prévention de la
torture et la loi organique n°2016-22 du 24 mars 2016 relative au droit
d’accès à l’information et qui protège également les données personnelles.
En Côte d’Ivoire, le cadre juridique national spécifique pour la protection des
données comprend d’une part, la Constitution qui dans son préambule
proclame son adhésion aux droits et libertés tels que définis dans la
Déclaration universelle des Droits de l'homme de 1948 et dans la Charte
africaine des Droits de l'homme et des peuples de 1981 et en son article 2 où
elle institue le principe de l’inviolabilité de la personne humaine, et d’autre
part, celui issu de la mise en œuvre des textes internationaux à travers des lois
types et des décrets d’application. Ainsi, elle a adopté en 2013, les lois
n°2013-546 du 30 juillet 2013 relative aux transactions électroniques et n°2013-
451 du 19 juin 2013 relative à la lutte contre la cybercriminalité ; et le Décret
n°2015-79 du 04 février 2015 fixant les modalités de dépôt des déclarations,
de présentation des demandes, d’octroi et de retrait des autorisations pour
12
le traitement des données à caractère personnel; et l’Arrêté
n°511/MPTIC/CAB du 11 novembre 2014 portant définition du profil et fixant
les conditions d’emploi du Correspondant à la protection des données à
caractère personnel.
En Belgique, la protection des données à caractère personnel est assurée
par la Constitution en ses articles 15, 22 et 29 ; par le droit pénal notamment
son titre II en son chapitre III relatif aux atteintes portées par des
fonctionnaires publics aux droits garantis par la Constitution et certaines lois
spéciales notamment les lois du 30 juin 1994 relative à la protection de la vie
privée contre les écoutes, la prise de connaissance et l’enregistrement de
communications ou de télécommunications privées, interdit les écoutes, la
prise de connaissance et l’enregistrement et celles du 8 août 1983 organisant
un registre national des personnes physiques et les arrêtés royaux, la loi du 24
mai 1994 créant un registre d’attente pour les étrangers qui se déclarent
réfugiés ou qui demandent la reconnaissance de la qualité de réfugiés et a
loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque
Carrefour de la Sécurité Sociale.
A côté de ces lois spéciales, existent des arrêtés royaux tels que l’Arrêté royal
du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à
la protection de la vie privée à l’égard des traitements de données à
caractère personnel, M .B., 13 mars 2001 et l’arrêté royal du 16 juillet 1992
déterminant les informations mentionnées dans des registres de la population
et dans le registre des étrangers.
En suisse, la base légale spécifique est assez fournie en matière de protection
des données à caractère personnel. Elle est prise en compte dans l’article 13
de la Constitution fédérale, dans l’Ordonnance relative à la loi fédérale sur la
protection des données (OLPD) du 14 juin 1993 (Etat le 1er décembre 2010),
le Code civil dans ses articles 28-28l, l’Ordonnance du 28 septembre 2007 sur
les certifications en matière de protection des données (OCPD), le Message
concernant la loi fédérale sur la protection des données (LPD) du 23 mars
1988
13
Message relatif à la révision de la loi fédérale sur la protection des données
LPD (PDF) du 19 février 2003, le Message du 11 septembre 2009 concernant
l’échange de notes avec l’UE relative à la protection des données à
caractère personnel traitées dans le cadre de la coopération policière et
judiciaire en matière pénale.
Au Québec, on note la loi sur l’accès aux documents des organismes publics
et sur la protection des renseignements personnels, la Loi sur la protection des
renseignements personnels dans le secteur privé, les Extraits du Code civil du
Québec, articles 35 à 41, la Loi concernant le cadre juridique des
technologies de l’information, le Code de procédure civile du Québec et la
Loi d’interprétation. Le Québec a adopté un certain nombre de textes
réglementaires en la matière. Il s’agit des Règlements sur la diffusion de
l’information et sur la protection des renseignements personnels, sur les frais
exigibles pour la transcription, la reproduction et la transmission de
documents et de renseignements personnels, sur les organismes publics tenus
de refuser de confirmer l’existence et de donner communication de certains
renseignements, sur la procédure de sélection des personnes aptes à être
nommées membres de la Commission d’accès à l’information.
II. Cadre juridique international
La protection des personnes en matière de traitement des données à
caractère personnel est un droit fondamental consacré par plusieurs textes
internationaux communautaires et dont la majorité des Etats francophones
(en dehors de la France et du Sénégal) ayant répondu au questionnaire en
ont fait la transposition ou s’en sont inspirés. Pour les besoins de rédaction,
ces textes internationaux sont regroupés en deux catégories. Ceux édictés
au niveau de l’Union Européenne, d’une part, et ceux édictés au niveau de
l’Union Africaine ou de la CEDEAO.
14
II. 1. Au niveau de l’Union Européenne
Selon, les réponses fournies, on recense les textes suivants :
o La Directive n°95/46/CE du 24 octobre 1995 du Parlement européen et du
Conseil relative à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de
ces données.
Cette directive a été évoquée par les sessions d’Andorre, de Belgique, de
Roumanie, de Canada, et de Tunisie. En rappel, il convient que la Directive
95/46/CE est entrée en vigueur le 13 décembre 1995. Elle constitue le texte
de référence, au niveau européen, en matière de protection des données à
caractère personnel. Elle met en place un cadre réglementaire visant à
établir un équilibre entre un niveau élevé de protection de la vie privée des
personnes et la libre circulation des données à caractère personnel au sein
de l'Union européenne (UE). Pour ce faire, la directive fixe des limites strictes à
la collecte et à l'utilisation des données à caractère personnel, et demande
la création, dans chaque État membre, d'un organisme national
indépendant chargé de la supervision de toutes les activités liées au
traitement des données à caractère personnel.
La directive s'applique aux données traitées par des moyens automatisés
(base de données informatique de clients, par exemple) ainsi qu'aux
données contenues ou appelées à figurer dans un fichier non automatisé
(fichiers papiers traditionnels).
15
o La Convention n°108 pour la protection des personnes à l'égard du
traitement automatisé des données à caractère personnel et son
protocole additionnel.
Cette convention a servi de base à l’adoption des lois sur la protection des
données à caractère personnel à Andorre, en Roumanie et en suisse.
La Convient n°108 a été signée à Strasbourg le 28 janvier 1981 et est entrée
en vigueur le 1er octobre 19985. C’est un traité ouvert à la signature des Etats
membres et à l'adhésion des Etats non membres. A ce jour, elle compte 5
Ratifications.
La Convention est le premier instrument international contraignant qui a pour
objet de protéger les personnes contre l'usage abusif du traitement
automatisé des données à caractère personnel, et qui réglemente les flux
transfrontaliers des données.
Outre des garanties prévues en ce qui concerne le traitement automatisé
des données à caractère personnel, elle proscrit le traitement des données
"sensibles" relatives à l'origine raciale, aux opinions politiques, à la santé, à la
religion, à la vie sexuelle, aux condamnations pénales, etc... , en l'absence
de garanties offertes par le droit interne. La Convention garantit également
le droit des personnes concernées de connaître les informations stockées à
leur sujet et d'exiger le cas échéant des rectifications. La Convention impose
également des restrictions aux flux transfrontaliers de données dans les Etats
où n'existe aucune protection équivalente.
Quant à son Protocole additionnel, il a été ouvert à signature des Signataires
de la Convention 108 et de l'Union européenne, et à l'adhésion des Etats
adhérents à ladite convention à Strasbourg, le 08 novembre 2001. Il est entré
en vigueur le 01 juillet 2004 et compte 5 Ratifications.
Ce texte renforce la protection des données personnelles et de la vie privée,
en complétant la Convention de 1981 (STE n° 108) sur deux points. Il prévoit
tout d'abord l'établissement d'autorités de contrôle chargées d'assurer le
16
respect des lois ou règlements introduits par les Etats en application de la
Convention concernant la protection des données personnelles et les flux
transfrontières de données. Le deuxième point concerne les flux
transfrontières de données vers des pays tiers, qui ne pourront être transférées
que si elles bénéficient dans l'Etat ou l'organisation internationale
destinataire, d'un niveau de protection adéquat.
Par ailleurs des textes non moins importants ont été transposés dans la
législation nationale de certains Etats. Il s’agit du projet de Règlement
européen sur la protection des données de 2012, mentionné par la session
de Côte d’Ivoire, des directives européennes (2002/58/CE, 2000/ 31/CE etc.)
en matière de protection des données personnelles (Roumanie), des Lignes
directrices régissant la protection de la vie privée et les flux transfrontières de
données de caractère personnel adoptées en 1980 par l’Organisation de
coopération et de développement économiques (OCDE) (Canada,
Québec) et de la Convention de Budapest sur la cybercriminalité du 23
novembre 2001 (Côte d’Ivoire).
II. 2. Au niveau de la CEDEAO et de l’UA
Les textes évoqués au niveau de la CEDEAO et de l’Union Africaine comme
ayant servi de fondement pour la mise en place de la législation de certains
Etats qui ont répondu au questionnaire sont l’Acte Additionnel du 16 février
2010 et la Convention sur la cyber-sécurité et la protection des données de
l’Union Africaine.
o L’Acte Additionnel A/SA.1/01/10 du 16 février 2010 relatif à la protection
des données à caractère personnel dans l’espace de la CEDEAO
L’Acte Additionnel a servi de fondement à la Côte d’Ivoire pour l’adoption
de la loi n° la loi n°2013-450 du 19 juin 2013 relative à la protection des
données à caractère personnel.
17
Il a été adopté le 16 février 2010 par la Conférence des Chefs d’Etats et de
Gouvernements, sur recommandation de la 63ème Session Ordinaire du
Conseil des Ministres de la CEDEAO, tenue les 20 et 21 novembre 2009 à
Abuja (Nigeria), et après avis du Parlement de la Communauté. Ce texte qui
sert de référence au niveau de l’Afrique de l’Ouest en matière de protection
de données à caractère personnel, invite chaque Etat membre, non
seulement à mettre en place un cadre légal de protection de la vie privée et
professionnelle consécutive au traitement des données personnelles, mais
aussi à instituer une Autorité de protection des données à caractère
personnel.
o La Convention sur la cyber-sécurité et la protection des données de
l’Union Africaine (Côte d’Ivoire).
La Convention sur la cyber-sécurité et la protection des données de l’Union
Africaine a été transposée par la Côte d’Ivoire. Elle a été adoptée par les
Chefs d’Etat et de gouvernement de l’Union Africaine (UA), réunis les 26 et 27
juin 2014 à Malabo en Guinée Equatoriale, pour la 23ème Session Ordinaire
du Sommet de l’UA. Elle vise à « renforcer et harmoniser les législations
actuelles des Etats membres et des Communautés Economiques Régionales
(CER) en matière de TIC », dans le respect des libertés fondamentales et des
droits de l’Homme et des Peuples. Elle vise également à créer « un cadre
normatif approprié correspondant à l’environnement juridique, culturel,
économique et social africain » et souligne que la protection des données
personnelles et de la vie privée est un « enjeu majeur de la société de
l’information » ; tout traitement de données personnelles doit respecter un
équilibre entre libertés fondamentales, promotion et usage des TIC, intérêts
des acteurs publics et privés.
18
Deuxième partie
AAUUTTOORRIITTEESS DDEE PPRROOTTEECCTTIIOONN DDEESS DDOONNNNEEEESS
PPEERRSSOONNNNEELLLLEESS DDAANNSS LL’’EESSPPAACCEE FFRRAANNCCOOPPHHOONNEE
19
Cette partie du rapport présente un aperçu comparatif des autorités
nationales de protection des données, des pratiques nationales notamment
les missions, pouvoirs, indépendance, mode de désignation, ressources,
coopération, qui mettent en œuvre les normes relatives à la protection des
données.
Il convient de préciser que les informations présentées ici s’appuient sur les 13
réponses fournies par les sections nationales suite au questionnaire diffusé
dans le cadre de la rédaction du présent rapport.
I. Nomenclature des Autorités de protection des données
personnelles
Aux termes des dispositions des textes régissant la protection des données à
caractère personnel, chaque État Partie s’engage à mettre en place une
autorité chargée de la protection des données à caractère personnel.
Ainsi en application de ces dispositions, notamment l’article 28, paragraphe
1, point 1, de la directive relative à la protection des données, l’article 1
paragraphe 1 du Protocole additionnel à la Convention 108 pour la
protection des personnes à l'égard du traitement automatisé des données à
caractère personnel, l’article 11 point 1 de la convention de l’Union africaine
sur la cyber-sécurité et la protection des données à caractère personnel,
l’article 14 point 1 de l’Acte Additionnel A/SA.1/01/10 du 16 février 2010 relatif
à la protection des données à caractère personnel dans l’espace de la
CEDEAO, toutes les sections, sauf la Valée d’Aoste, ont mis en place une
autorité de protection des données à caractère personnel.
A Andorre, c’est l’Agence andorrane de sécurisation des données (APDA),
en France, l’Autorité en charge de la protection des données à caractère
personnel est la Commission Nationale Informatique et Libertés (CNIL). En
Belgique, de même qu’au Canada, ce sont les Commissions de la protection
vie privée qui exercent cette mission. En Côte d’Ivoire, les missions de
20
l’Autorité de protection des données à caractère personnel sont exercées
par l’Autorité de Régulation des Télécommunications/TIC (ARTCI). Au Gabon,
la loi dont les références sont citées ci-dessus (section 1) prévoit la mise en
place d’une autorité nationale de protection des données personnelles
dénommée, Commission Nationale pour la Protection des données à
Caractère personnel (CNPDCP), mise en place depuis novembre 2012. Au
Québec, l’Autorité de protection des données est la Commission d’accès à
l’information du Québec. En Roumanie, c’est l’Autorité Nationale de
Contrôle du Traitement des Données à Caractère Personnel (ANCTDCP). En
Suisse, il s’agit du Préposé fédéral à la protection des données et à la
transparence (PFPDT). Au Mali, c’est l’Autorité de Protection des Données à
caractère personnel. En Tunisie, l’institution chargée du contrôle de
l’application de la loi en la matière est l’Instance Nationale de Protection des
Données à caractère Personnel. Au Sénégal, c’est la Commission Nationale
de protection des Données Personnelles.
II. Missions et pouvoirs des Autorités de protection des données
personnelles
Les États parties ayant mis les autorités de protection des données à
caractère devaient accorder à celles-ci un large mandat tel que spécifié
dans les textes internationaux dont ils ont fait la transposition dans leur corpus
juridique national. Ainsi, ces autorités ont été dotées de diverses missions et
de pouvoirs.
II. 1. Missions
Selon les réponses reçues, ces Autorités remplissent d’importantes missions en
matière de protection des données à caractère personnel notamment :
le traitement des données personnelles ;
le respect des droits et des libertés fondamentales ;
la garantie de la dignité humaine.
21
Pour ce faire, elles veillent au respect de la loi sur la protection des données
à caractère personnel, tels sont les cas de l’Agence andorrane de
sécurisation des données d’Andorre, de la Commission d’accès à
l’information du Québec, du Préposé fédéral à la protection des données et
à la transparence en Suisse, de l’Autorité Nationale de Contrôle du
Traitement des Données à Caractère Personnel de la Roumanie. En outre,
elles exercent des missions de protection et de promotion des droits des
personnes à la vie privée (Roumanie, Canada, Québec), des missions de
sensibilisation de la population et de tous les acteurs sur le traitement des
données personnelles (Suisse, Canada, Côte d’Ivoire, Sénégal).
II. 2. Pouvoirs
Conformément aux textes ci-dessus cités, les Autorités de protection des
données personnelles disposent des pouvoirs règlementaire, de contrôle et
de sanction. Suivant l’examen des réponses fournies, cinq (5) des sections qui
ont répondu au questionnaire à savoir la Roumanie, la France, le Québec, la
Côte d’Ivoire, le Gabon et le Mali ont des Autorités qui disposent des trois
pouvoirs. D’autres (trois sections) par contre ne disposent que des pouvoirs
de contrôle et de sanction. Il s’agit des Autorités de protection des données
personnelles d’Andorre, du Sénégal et de la Tunisie. Pour les autres sections,
notamment, la Belgique, la Suisse, et le Canada, les Autorités de protection
des données ont soit un pouvoir de contrôle, soit un pouvoir de sanction, soit
elles ne disposent d’aucun de ces pouvoirs.
III. Indépendance des APDP
Suivant les réponses reçues, toutes les sections estiment que les Autorités de
protection des données personnelles exercent leurs activités en toute
indépendance et ne reçoivent aucune instruction des pouvoirs publics, en
application des textes internationaux, selon lesquels les États parties
garantissent que leurs autorités nationales de contrôle en matière de
22
protection des données exercent en toute indépendance les missions dont
elles sont investies.
A ANDORRE, l’APDA est un établissement de droit public, ayant une
personnalité juridique propre, indépendant des administrations publiques et
doté de la pleine capacité pour agir. L’APDA n’a aucune forme de
dépendance hiérarchique.
Le chef de l’APDA remplit ses fonctions en toute indépendance, neutralité et
objectivité, sans être soumis à aucune obligation impérative ni instruction.
En Belgique, la Commission de la protection vie privée est une autorité
administrative indépendante, comme l’indique son statut, elle ne reçoit donc
pas d’instruction. Ses membres prennent leurs décisions lors de séances des
commissaires, organisées toutes les 3 semaines et préparées par son
Secrétariat.
Au CANADA, le commissaire à la protection de la vie privée est un haut
fonctionnaire du Parlement. À ce titre, le commissaire à la protection de la
vie privée est indépendant du gouvernement et s’acquitte de fonctions de
surveillance. Le commissaire rend des comptes directement au Parlement
canadien plutôt qu’au gouvernement ou à un ministre du gouvernement
fédéral.
En Côte d’Ivoire, l’ARTCI est une autorité administrative indépendante dotée
de la personnalité juridique et de l’autonomie financière. Les missions de
régulation sont exercées par l’ARTCI de façon indépendante, impartiale et
transparente. Dans l’exercice de leurs attributions, les membres de l’Autorité
ne reçoivent d’instruction d’aucune autre autorité. Elle présente chaque
année au Président de la République un rapport rendant compte de
l’exercice de sa mission.
En France, la CNIL est une autorité administrative indépendante (AAI). Cette
indépendance est garantie par sa composition et son organisation. En outre,
un régime d’inamovibilité et d’incompatibilité frappe ses membres. Les AAI
23
ne sont pas soumises aux pouvoirs hiérarchiques des ministères. Elles ne
reçoivent d’eux ni ordres, ni consignes, ni conseils.
Au Gabon, la Commission Nationale Pour la Protection des Données à
Caractère Personnel est une autorité administrative indépendante et
autonome. Elle ne reçoit pas d’instructions et ne travaille que sous l’emprise
de la loi qui fonde son existence et son fonctionnement. Elle a toutefois pour
interface auprès du Gouvernement, le Ministère de l’Intérieur.
Au Québec, la Commission d’accès à l’information constitue un organisme
public et indépendant du gouvernement. Elle a un statut de tribunal
administratif.
La Loi ne donne pas à la ministre responsable de l’Accès à l’information et
de la Réforme des institutions démocratiques le pouvoir de donner des
instructions à la Commission. Certes, la ministre peut demander à la
Commission de lui transmettre divers renseignements ou documents (art.
120).
En Roumanie, l’ANCTDCP est une autorité publique autonome qui déploie
ses activités en toute impartialité et indépendance par rapport à toute autre
autorité de l’administration publique, ainsi que par rapport à toute autre
personne physique ou personne morale de droit privé.
En Suisse, l’Autorité en charge de la protection des données personnelles est
une autorité indépendante qui ne reçoit pas d’instructions.
IV. Composition, mode de désignation et autorités de nomination des
membres des APDP
Les différents textes évoqués plus haut sur la protection des données
personnelles fixent les modalités générales de composition, de désignation,
et des autorités de nomination des membres des Autorités de protection, leur
laissant ainsi le choix de terminer le nombre de leur membre. Les seules
conditions imposées sont relatives au secret professionnel auquel sont soumis
24
les membres conformément aux textes en vigueur dans chaque pays
membre, d’une part, et à l’incompatibilité avec la qualité de membre du
Gouvernement, de l’exercice des fonctions de dirigeants d’entreprise, de la
détention de participation dans les entreprises du secteur des technologies
de l’information et de la communication de ceux-ci et à l’immunité totale
dont doivent jouir les membres pour les opinions émises dans l’exercice ou à
l’occasion de l’exercice de leur fonction.
L’analyse des réponses au questionnaire montrent un effort de respect de
ces textes par les différentes sections. De cette analyse, il convient de
distinguer deux modèles d’Autorités de protection : les Autorités construites
sur le modèle collégial et celles construites sur le modèle du Commissaire
unique. Celles qui sont construites sur le modèle collégial sont composées de
plusieurs membres et leur nombre varie entre sept (7) et dix-sept (17). Il s’agit
des APDP d’Andorre, de la Belgique, de la France, du Québec, de la Côte
d’Ivoire, du Gabon, du Mali, du Sénégal et de la Tunisie. Pour celles qui sont
construites sur le modèle de commissaire unique, qui porte le titre de
Commissaire, sur les 12 sections ayant répondu au questionnaire, trois (3)
fonctionnent sur ce modèle. Il en est ainsi des Autorités de Roumanie, de
Suisse et de Canada.
Pour ce qui est des autorités de nomination, les autorités de nomination, il
existe une grande diversité et les procédures varient. En effet, dans le but
d'augmenter l'indépendance, certaines autorités ont des membres qui sont
chacun nommés par une autorité différente avec la confirmation du
Parlement ou non. C'est le cas pour la CNIL en France, dont les autorités de
nomination sont les deux chambres du Parlement, le CESE, le Conseil d'État,
la Cour de Cassation, la Cour des comptes, et le gouvernement. Il en est
également pour le Préposé fédéral à la protection des données et à la
transparence (PFPDT) en Suisse où celui-ci est nommé par le Conseil fédéral
et confirmé par le Parlement. Au Canada, le commissaire à la protection de
la vie privée est nommé par le gouverneur en conseil et approuvé par
résolution du Sénat et de la Chambre des communes. Tel est aussi le cas au
25
Québec où les membres de la Commission d’accès à l’information sont
nommés sur proposition du premier ministre, par résolution de l’Assemblée
nationale approuvée par au moins les deux tiers des députés. Au Sénégal et
au Mali, les membres des Commissions Nationales de Protection des Données
Personnelles sont nommés par le Président de la République (trois des
membres), le Président de la Cour Suprême (deux), l’Assemblée nationale
(un).
Dans certaines sections par contre, comme l’Andorre, la Belgique et la
Roumanie, les membres des APDP sont élus ou désignés par le seul
Parlement.
Dans d’autres pays notamment en Côte d’Ivoire, au Gabon et en Tunisie, les
membres de l’APDP sont nommés par décret pris en Conseil des Ministres sur
proposition soit du ministre chargé des droits de l’Homme (Tunisie), soit du
Ministre en charge des TIC (Côte d’Ivoire).
A titre d’illustration, sont présentées ici les réponses fournies par les différentes
sections.
A ANDORRE, les membres de l’APDA sont élus par le Parlement par majorité
qualifiée aux deux tiers au premier tour de vote, et par majorité absolue, au
second tour, pour un mandat de 4 ans renouvelable.
L’APDA peut recruter des collaborateurs. Les places doivent être fournies
moyennant une convocation publique et conformément aux principes
d’égalité, de mérite et de capacité. Le régime applicable au personnel
affecté à l’APDA est celui qui est établi par la réglementation en vigueur en
matière de travail.
La Commission de la protection vie privée de Belgique est composée de 16
membres (un président, un vice-président, six membres effectifs, huit
membres suppléants), tous désignés pour une période de 6 ans et élus par les
membres de la Chambre des représentants. Le président et le vice-président
26
sont les seuls à exercer leur fonction à temps plein, et le mandat de président
est réservé à un magistrat.
La Commission vie privée doit impérativement compter parmi ses membres
un juriste, un informaticien et deux personnes pouvant justifier d’une
expérience professionnelle dans le domaine de la gestion de données à
caractère personnel.
Elle est assistée par un secrétariat de 50 collaborateurs. Le cadre, le statut et
le mode de recrutement de ce secrétariat sont déterminés par la Chambre
de représentants sur proposition de la Commission. La liberté de recrutement
des collaborateurs n’est donc pas entière.
Au Canada, le commissaire à la protection de la vie privée est nommé par le
gouverneur en conseil, par commission sous le grand sceau, après
consultation du chef de chacun des partis reconnus au Sénat et à la
Chambre des communes, suivie d’une approbation par résolution du Sénat
et de la Chambre des communes.
Le commissaire est nommé pour un mandat renouvelable d’une durée de
sept ans. Daniel Therrien a été nommé commissaire à la protection de la vie
privée du Canada à compter du 5 juin 2014.
En Côte d’Ivoire, le Conseil de régulation est composé de sept membres,
dont un président, nommés par décret pris en Conseil des Ministres, sur
proposition du Ministre en charge des TIC pour un mandat de six ans non
renouvelable.
Les membres du Conseil de régulation sont choisis, en raison de leur probité,
de leurs qualifications et compétences avérées dans les domaines des
Technologies de l’Information et de la Communication, suite à une
procédure transparente conduite sous la responsabilité du Ministre en charge
des Télécommunications/TIC.
27
L'ARTCI peut recruter des agents contractuels conformément au Code du
travail. Elle peut employer des fonctionnaires et agents de l’Etat en position
de détachement.
Les membres du Conseil de régulation prêtent serment devant le Président
de la Cour d’Appel, à l’exception des Magistrats.
En France, la CNIL est composée d’un Collège de 17 « commissaires ». 12 de
ces 17 membres sont élus ou désignés par les assemblées ou les juridictions
auxquelles ils appartiennent. Ainsi, elle compose quatre parlementaires (2
députés, 2 sénateurs) ; deux membres du Conseil économique, social et
environnemental ; six représentants des hautes juridictions (2 conseillers
d’État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des
comptes) et cinq personnalités qualifiées désignées par le Président de
l’Assemblée nationale (1 personnalité), le Président du Sénat (1 personnalité),
en Conseil des Ministres (3 personnalités).
Le mandat des commissaires est de 5 ans ou, pour les parlementaires, d’une
durée égale à leur mandat électif.
La CNIL élit son Président parmi ses membres ; elle ne reçoit d’instruction
d’aucune autorité et les ministres, autorités publiques, dirigeants
d’entreprises, publiques ou privées, ne peuvent s’opposer à son action.
Le Président de la CNIL recrute librement ses collaborateurs, et, outre ce
collège de commissaires, environ 190 agents, répartis dans 5 directions et
placés sous l’autorité d’un Secrétaire général.
Au GABON, la Commission est composée de quatorze (14) membres, à raison
de neuf permanents et quatre non permanents.
Pour ce qui est du mode de désignation, la section gabonaise indique que
les Commissaires Permanents sont désignés ainsi qu’il suit :
- trois (3) personnalités désignées par le Président de la République, dont le
Président de la Commission ;
28
- un (1) magistrat Membre du Conseil d’Etat désigné sur proposition du
Président du Conseil d’Etat ;
- un (1) magistrat de la Cour de cassation désigné sur proposition du
Président de la Cour de cassation ;
- un (1) avocat d’signé par l’ordre des avocats ;
- un (1) médecin désigné par l’ordre des médecins ;
- un (1) représentant des organisations de défense des droits de l’homme
désigné par ses pairs ;
- un (1) expert en technologie de l’information et de la communication
désigné par le Ministre en Charge de l’Economie Numérique.
S’agissant des Commissaires Non Permanents, ils sont désignés comme suit :
- un (1) député désigné par le Président de l’Assemblée Nationale ;
- un (1) sénateur désigné par le Président du Sénat ;
- un (1) Commissaire du Gouvernement désigné par le Premier Ministre ;
- un (1) représentant du Patronat gabonais désigné par ses pairs.
Les Membres de la CNPDCP sont nommés par décret pris en Conseil des
Ministres pour un mandat de 5 ans renouvelable une fois.
La Commission dispose de la liberté de recruter ses collaborateurs. En effet,
l’article 36 de la n°1/2011 stipule à cet égard que : « La Commission dispose
d’un personnel pourvu par l’Etat et peut recruter des agents conformément
aux dispositions du code du travail ».
Au QUEBEC, les membres de la Commission sont nommés sur proposition du
premier ministre, par résolution de l’Assemblée nationale approuvée par au
moins les deux tiers des députés. Le mandat est de cinq ans avec possibilité
de renouvellement (art. 104 et 105 de la Loi sur l’accès aux documents des
organismes publics et sur la protection des renseignements personnels).
La Commission choisit les membres de son personnel. Ceux-ci font partie de
la fonction publique du Québec (art. 111).
En ROUMANIE, Le Président de l’ANCTDCP est nommé par le Sénat, pour un
mandat de 5 ans, renouvelable une seule fois.
29
Le Règlement d’organisation et de fonctionnement de l’ANCTDCP adopté
en 2005, avec les modifications et les complétions ultérieures, prévoit que la
structure organisationnelle de l’Autorité este avisée par le Bureau Permanent
du Sénat. Au sein de cette structure, le Président de l’ANCTDCP peut
organiser des services, des bureaux, des commissions temporaires etc. Il
nomme et recrute le personnel. Auprès du Président de l’ANCTDCP
fonctionne une structure ayant un rôle consultatif - Le Conseil consultatif de
l’Autorité. La composition et le fonctionnement du Conseil sont approuvés
par le Président.
En SUISSE, le ou la préposé(e) est nommé(e) par le Conseil fédéral et
confirmé(e) par le Parlement. Son mandat dure 4 ans et peut être renouvelé.
V. Mandat des membres des APDP
Les textes de base évoqués ci-dessus et servant de référence à la protection
des données personnelles ne fixent pas de nombre de mandat pour les
membres des Autorités de contrôle. Ils se contentent d’encourager les
autorités à prendre les dispositions nécessaires pour permettre aux membres
des Autorités de contrôle d’exercer leurs missions en toute indépendance en
vue de l’attente des objectifs qui leur fixés. En application de ces dispositions,
chaque Etat partie détermine le nombre des membres de ces Autorités de
contrôle. Aussi, l’analyse des réponses indique-t-elle que le mandat des
membres des Autorités varie entre trois (3) ans (Tunisie) et sept (7) ans avec
possibilité de renouvellement ou non. Ainsi, les membres des APDP d’Andorre,
de la Suisse et du Sénégal sont désignés pour un mandat de 4 ans
renouvelable une fois ; 5 ans renouvelables pour les membres des APDP de la
France, de la Roumanie, du Québec, du Gabon ; 6 ans renouvelables ou non
pour ceux de la Côte d’Ivoire et de la Belgique ; 7 ans renouvelables ou non
pour les membres des APDP du Canada et du Mali.
30
VI. Ressources et Autonomie financière des APDP
Les États parties s’engagent à doter les autorités nationales de protection
nécessaires à l’accomplissement de leur mission.
Les textes engagent les Etats parties à doter les Autorités nationales de
protection de moyens humains, techniques et financiers nécessaires pour
l’accomplissement de leurs missions. Toutes les sections ayant répondu au
questionnaire indiquent que leurs autorités de protection des données
reçoivent les ressources nécessaires à leur fonctionnement. Ces ressources
proviennent soient du budget de l’État pour la plupart des sections et
souvent à partir du budget alloué au Ministère de la Justice, mettant ainsi en
doute l’autonomie financière des Autorités de contrôle, tel est le cas en
Tunisie.
Toutefois, dans certains États parties, les autorités de contrôle peuvent
accroître de façon importante leurs ressources financières grâce à leurs
propres activités notamment les recettes obtenues des frais de dossier, des
sanctions pécuniaires imposées en cas d’infraction à la législation relative
à la protection des données, tel est l’exemple de l’ARTCI en Côte d’Ivoire.
Certaines sections (le Gabon, le Mali, la Tunisie notamment) estiment que le
budget alloué n’est pas suffisant pour permettre à l’Autorité de mener à bien
ses missions. Ces montants englobent les frais personnels et les frais
d’entretien. Ce manque de financement des autorités de contrôle pose un
défi majeur pour l’efficacité des systèmes de contrôle nationaux compte
tenu des tâches qui leur confiées, qui pourrait mettre en danger la protection
des droits fondamentaux des personnes concernées. De ce fait, les États
parties devraient garantir que les autorités nationales de protection des
données disposent de ressources suffisantes pour fonctionner correctement.
Suivant les réponses fournies relativement aux ressources, on constate la
nette disparité entre les pays du Nord et ceux du Sud, en témoignent ces
données chiffrées qui suivent :
31
➢ Gabon : 913.000 Euros (2015) ;
➢ Suisse : 6.000.000 de Francs suisses (2015) ;
➢ Andorre : 401.485 Euros (2016) ;
➢ Belgique : 7.365.000 Euros (2014) ;
➢ Québec : 5,9.000.000 de dollars canadiens (2015-2016) ;
➢ Sénégal : 200.000.000 de francs CFA ;
➢ CNIL : 18.298.779 Euros (2015) ;
➢ Mali : 500.000.000 de francs CFA (2015) ;
➢ Canada : 24,5.000.000 de dollars canadiens (2016-2017).
Notons que la Roumanie et la Vallée d’Aoste n’ont pas donné le montant de
leurs budgets annuels.
VII. Contrôle parlementaire des APDP
Sans être explicitement soulevé par les textes de référence en matière de
protection des données personnelles, le contrôle parlementaire a été
instauré dans la plupart des sections.
Huit (08) des treize (13) sections ayant renvoyé un questionnaire renseigné
affirment l’existence d’un contrôle parlementaire sur les activités des
Autorités de protection des données personnelles. Ce contrôle comporte des
particularités et se fait :
- soit par une commission spécialisée. Il en est ainsi à Andorre où le contrôle
et le suivi de l’APDA sont effectués par la Commission législative de l’intérieur.
En Suisse et en Tunisie, les Autorités de protection des données personnelles
peuvent être l’objet de contrôle du Parlement, notamment par
l’intermédiaire des commissions de gestion ou des finances. Au Canada le
Comité permanent de l’accès à l’information, de la protection des
renseignements personnels et de l’éthique de la Chambre des communes a
32
le mandat d’étudier les questions relatives au Commissariat à la protection
de la vie privée du Canada.
- soit en plénière lors de la présentation de son rapport annuel, tel qu’il existe
en Roumanie où le Président de l’ANCTDCP présente un rapport annuel
d’activité en séance plénière du Sénat, ou à travers une séance
d’information sur des questions écrites ou orales notamment en Côte d’Ivoire
et en Tunisie où les Présidents des Autorités peuvent être convoqués à travers
une question écrite ou orale pour des auditions sur des aspects spécifiques
de son fonctionnement.
- soit à posteriori par la transmission d’un rapport annuel. En Belgique, la
Commission vie privée rédige, chaque année un rapport d’activités destiné
à la fois aux parlementaires et au public. Il en est de même en Suisse, en
Côte d’Ivoire, Canada et au Québec ; ou des rapports spéciaux comme au
Canada où en vertu de la LPRP, le Commissaire à la protection de la vie
privée peut présenter des rapports spéciaux au Parlement à toute époque
de l’année.
Quatre (4) des treize (13) sections affirment que les APDP de leur pays ne font
l’objet de contrôle parlementaire. Il s’agit du Sénégal, du Mali, du Gabon, de
la Vallée d’Aoste et de la France.
VIII. Coopération entre les Autorités de protection des données
personnelles
Conformément aux dispositions des textes internationaux relatifs à la
protection des données personnelles, notamment le chapitre IV de la
Convention, les autorités de contrôle coopèrent entre elles dans la mesure
nécessaire à l’accomplissement de leurs missions, notamment en
échangeant toute information utile. En outre, selon les objectifs de
l’Association Francophone des Autorités de protection des données
personnelles, cette coopération permet de promouvoir le nouveau droit de
33
la protection des données personnelles ; de renforcer l’efficacité des
autorités chargées de la protection des données personnelles, de constituer
un réseau d’autorités pour l’échange de bonnes pratiques et surtout de
promouvoir l’expertise francophone en matière de protection des données
personnelles.
Toutes les sections ayant répondu au questionnaire affirment que leurs
autorités sont membres de l’Association Francophone des Autorités de
Protection des données personnelles (AFAPDP). Ceux qui n’y sont pas encore
affiliés, tel que le Mali, en ont déjà fait la demande.
Il convient de noter que l’AFAPDP offre une expertise et un
accompagnement juridiques, c’est-à-dire une aide à la rédaction et/ou à la
revue de projets de loi portant protection des données personnelles, soutien
auprès des autorités nationales.
34
Troisième partie
AAtttteenntteess ddeess ppaayyss ffrraannccoopphhoonneess eenn mmaattiièèrree ddee
pprrootteeccttiioonn ddeess ddoonnnnééeess ppeerrssoonnnneelllleess
35
III. Au niveau de l’usage des TIC
L’usage des nouvelles Technologies de l’Information et de la Communication
(TIC) est encore à ses balbutiements dans certains Etats francophones du Sud
et varie d’un pays à un autre.
La préoccupation majeure à l’échelle internationale, s’agissant de cet usage
concerne la réduction du fossé numérique. Celui-ci se caractérise par le
décalage existant entre les pays du Nord et ceux du Sud en matière d’accès
et d’appropriation des nouvelles technologies de l’information et de la
communication (NTIC)
Au-delà de cette bipolarisation Nord-Sud, la fracture numérique est
également perceptible entre les centres urbains et les zones rurales. Elle se
manifeste aussi au travers de la disparité des catégories sociales, des niveaux
de revenus, d’instruction ou d’alphabétisation.
Au regard de sa complexité, la réduction du fossé numérique requiert des
actions multiformes et volontaristes, notamment :
- le développement des infrastructures et des équipements de pointe en
matière de technologie de l’information et de la communication ;
- la promotion des programmes de formation aux NTIC ;
- la promotion de l’investissement privé ;
- la vulgarisation de l’accès du plus grand nombre aux NTIC ;
- le renforcement de la coopération entre les Etats.
III. Au niveau de la Solidarité entre les Etats francophones.
La solidarité entre les Etats francophones en matière de protection des
données personnelles doit être effective et agissante, au plan bilatéral et
multilatéral, au sein des espaces communautaires ou régionaux et dans les
milieux associatifs. Cette solidarité doit permettre :
d’harmoniser les cadres juridiques et réglementaires ;
36
de promouvoir les échanges d’expérience, plus particulièrement entre
le Nord et le Sud ;
de mobiliser les ressources tant humaines que budgétaires surtout au
profit des pays du Sud.
III. Au niveau de l’apport des parlementaires francophones.
Bien que les autorités de protection soient indépendantes, il existe des
particularités dans l’espace francophone. Certaines autorités de protection
travaillent en étroite collaboration avec les parlements, notamment en ce
qui concerne :
le dépôt des rapports d’activités ;
le contrôle et le suivi de leurs actions par les commissions
parlementaires ;
l’affectation et la mobilisation de leurs ressources ;
le recrutement des personnels.
Notons par ailleurs, ainsi que nous l’avons souligné plus haut, que certaines
autorités de protection des données personnelles, à l’instar de celle du
Gabon, ne sont pas astreintes au contrôle parlementaire.
L’appui des parlementaires à la protection des données personnelles peut se
traduire entre autre par :
- le renforcement de la législation, en fonction de l’évolution des enjeux
en matière de protection des données personnelles ;
- le vote des budgets nécessaires à la réalisation des politiques publiques
dans ce domaine ;
- le contrôle de l’exécution des politiques publiques.
37
Conclusion
Au terme de l’analyse de ces premiers résultats, le constat général qui se
dégage est la volonté des Etats de l’espace francophone à prendre en
compte la protection des données personnelles. En témoignent l’existence
dans presque toutes les sections (12 sections sur les 13 ayant répondu au
questionnaire) de lois nationales issues d’instruments juridiques internationaux
en la matière et la mise en place d’Autorités de protection à caractère
personnel avec des garanties d’indépendance au niveau financier et
organisationnel.
Cependant des efforts restent à faire notamment au niveau du budget
alloué aux Autorités de protection des données personnelles, du contrôle
parlementaire et surtout pour la réduction du fossé numérique entre le Nord
et le Sud pour une protection harmonisée des données personnelles.
Il est vivement souhaitable que les autres sections transmettent leurs réponses
au questionnaire en vue de la rédaction du rapport final.
38
ANNEXES
ANNEXE 1.
Liste des sections ayant réagi au questionnaire :
1. Andorre
2. Belgique
3. Canada
4. Côte d’Ivoire
5. France
6. Gabon
7. Mali
8. Québec
9. Roumanie
10. Sénégal
11. Suisse
12. Tunisie
13. Valée d’Aoste
39
ANNEXE 2 :
TABLEAU DES DIFFERENTES CONTRIBUTIONS
40
PAYS REPONSES
Section 1 1. Votre pays dispose-t-il d’une loi nationale en matière de protection des données personnelles ? OUI (Si OUI, passer à la Section 2) NON (Si NON, passer à la Section 3)
ANDORRE OUI.
BELGIQUE Oui
CANADA
Oui, le Canada, au niveau fédéral, dispose de deux lois en matière de protection des données personnelles. a. Loi sur la protection des renseignements personnels D’abord, la Loi sur la protection des renseignements personnels (LPRP), qui est entrée en vigueur en 1983, s’applique aux institutions fédérales du Canada lorsqu’elles recueillent des renseignements personnels. La LPRP vise près de 250 institutions fédérales qui sont répertoriées à son annexe et traite de la façon dont celles-ci protègent les renseignements personnels. Notamment, la LPRP impose des obligations légales aux institutions fédérales en ce qui a trait à la façon de recueillir, de conserver, d’utiliser et de communiquer les renseignements personnels qu’elles détiennent. De plus, la LPRP confère aux individus un droit d’accès aux renseignements personnels qui les concernent et qui sont détenus par des institutions fédérales, ainsi qu’un droit de demander que ceux-ci soient corrigés. Finalement, la LPRP prévoit la désignation d’un ombudsman indépendant, le Commissaire à la protection de la vie privée du Canada. b. Loi sur la protection des renseignements personnels et les documents électroniques Puis, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), adoptée en 2001, porte sur la façon dont les organisations du secteur privé protègent les renseignements personnels. La LPRPDE vise à concilier le droit des individus au respect de la vie privée et le besoin raisonnable qu’ont les organisations de recueillir, utiliser et communiquer des renseignements à des fins économiques. La LPRPDE s’applique à toutes organisations à l’égard des renseignements personnels : • qu’elle recueille, utilise ou communique dans le cadre d’activités commerciales; • qui concernent un de ses employés ou l’individu qui postule pour le devenir et qu’elle recueille, utilise ou communique dans le cadre d’une entreprise fédérale. Il est à noter que la LPRPDE ne s’applique pas aux institutions fédérales auxquelles s’applique la LPRP, aux renseignements personnels recueillis, utilisés ou communiqués par un individu à des fins personnelles ou privées et aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels à des fins journalistiques, artistiques ou littéraires. De plus, si une province canadienne adopte une loi essentiellement similaire à la LPRPDE, le gouverneur en conseil peut, par décret, soustraire les organisations ou les activités visées par cette loi provinciale à l’application de la LPRPDE. Notamment, un décret exclut des organisations du Québec de l’application de la LPRPDE étant donné que cette province détient une loi essentiellement similaire à la LPRPDE. De plus, le Nouveau-Brunswick détient une loi concernant la protection des renseignements personnels sur la santé et un décret exclut les organisations assujetties à cette loi.
CÔTE D’IVOIRE
Oui la Côte d’Ivoire dispose d’une loi nationale en matière de protection des données personnelles. Il s’agit de la loi n° la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel.
FRANCE Oui
GABON Le Gabon dispose d’une loi nationale de protection des données personnelles. C’est la loi n°1/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel.
MALI Oui : la loi N° 015 du 15 Mai 2013
QUEBEC Oui
ROUMANIE
Oui : La Loi 677/2001 relative à la protection des personnes à l’égard du traitement des données à caractère personnel et la libre circulation de ces données.
SENEGAL Oui - il s’agit de la loi N° 2008-12 du 25 janvier 2008.
SUISSE En Suisse, c’est la loi fédérale sur la protection des données (LPD) du 19 juin 1992 qui règle ce domaine. Lien vers la loi : https://www.admin.ch/opc/fr/classified-compilation/19920153/index.html
TUNISIE
En Tunisie un corpus juridique assez fourni protège les données personnelles: La constitution de 1959 : Article 9 dispose que : « L'inviolabilité du domicile, le secret de la correspondance et la protection des données personnelles sont garantis » La constitution de 2014 : Article 24 dispose que: « L’État protège la vie privée, l’inviolabilité du domicile et le secret des correspondances, des communications et des données personnelles » La loi organique n° 2004-63 du 27 juillet 2004 sur la protection des données à caractère personnel D’autres lois relatives à des Instances nationales les soumettent à l’obligation de protéger les données personnelles (notamment la loi organique relative à L'Instance Supérieure Indépendante pour les Élections
(ISIE), la loi organique relative à la justice transitionnelle créant l’Instance de Vérité et de dignité (IVD), la loi organique n° 2013-43 du 23 octobre 2013, relative à l’instance nationale pour la prévention de la torture …) ainsi que d’autres lois respectant ce droit constitutionnel notamment la loi organique n°2016-22 du 24 mars 2016 relative au droit d’accès à l’information et qui protège également les données personnelles.
VALEE D’AOSTE
Non. La Vallée d'Aoste est une région autonome au sein de l'état Italien; la compétence législative valdôtaine dont au Statut spécial d'autonomie (approuvé par loi constitutionnelle) ne prévoit pas une compétence en matière de protection des données personnelles, qui est au contraire de ressort de l'état.
Section 2 1. S’agit-il d’une transposition d’une législation communautaire ou d’un traité international portant sur la protection des données ? Préciser : (Exemples : Directive européenne sur la protection des données de 1995 ou projet de règlement européen
41
sur la protection des données de 2012 ? Acte additionnel sur la protection des données de la CEDEAO ? Convention 108 du Conseil de l’Europe ? Convention sur la cyber sécurité et la protection des données de l’UA ?)
ANDORRE
L’Andorre est un pays situé dans le continent européen mais il n’est pas membre de l’Union européenne. L’Andorre est un État indépendant doté d’un régime de Co principauté parlementaire. Le droit au respect de la vie privée est évoqué dans l’article 14 de la Constitution de la Principauté d’Andorre, approuvée par référendum le 14 mars 1993. La protection des données à caractère personnel est régie par la Loi qualifiée n° 15/2003 du 18 décembre 2003 relative à la protection des données à caractère personnel, mise en œuvre par divers instruments, dont deux décrets : le décret du 1er juillet 2004 instituant le registre public pour l’inscription des fichiers contenant des données à caractère personnel et par le décret du 9 juin 2010 portant sur l’approbation du règlement de l’Agence andorrane de sécurisation des données (APDA). Avec ces dispositions juridiques pour la protection des données à caractère personnel, l’Andorre assure un niveau de protection adéquat au sens de l’article 25, paragraphe 6 de la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, et il a été ainsi reconnu par la Commission européenne (Décision de la Commission européenne du 19 octobre 2010 (2010/625/UE). D’ailleurs, au plan international et concernant la protection des données, Andorre a signé et ratifié la Convention n°108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel, tous deux entrés en vigueur le 1er septembre 2008. Conformément à l’article 3.4 de la Constitution de l’Andorre, les traités et accords internationaux s’intègrent dans l’ordre juridique andorran dès leur publication au journal officiel de la Principauté d’Andorre et ne peuvent être modifiés ou abrogés par la loi. En d’autres termes, ces traités et accords font partie intégrante du droit andorran dès leur ratification et sont directement applicables en Andorre.
BELGIQUE
La Belgique a adopté en 1992 la loi « sur la protection de la vie privée des personnes physiques à l’égard des traitements de données personnelles » , qui a insaturé un devoir de transparence concernant l’utilisation de données personnelles, des règles d’utilisation de ces données et de nouveaux droits pour les personnes fichées. Ensuite, une directive européenne a été adoptée le 24 octobre 1995 pour harmoniser les règles de protection des données personnelles sur tout le territoire de l’Union Européenne. La loi de 1992 a donc été fortement modifiée par la loi du 11 décembre 1998 et par la loi du 26 février 2003 transposant cette directive européenne en droit belge.
CANADA
Au Canada, les premières dispositions en matière de protection de la vie privée ont été édictées en 1977 dans la Loi canadienne sur les droits de la personne en réponse au rapport d’un groupe d’étude fédéral canadien sur l’ordinateur et la vie privée. Subséquemment, en 1983, la LPRP, c’est-à-dire la loi actuelle régissant la protection des renseignements personnels pour les institutions fédérales, est entrée en vigueur. Il est à noter, que les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel adoptées en 1980 par l’Organisation de coopération et de développement économiques (OCDE) ont servi de fondement aux dispositions législatives de la LPRP. Néanmoins, la LPRP ne s’appliquait qu’aux institutions fédérales. En 2001, dix-huit ans plus tard, la LPRPDE, qui s’applique aux renseignements personnels dans le secteur privé, est entrée en vigueur. Il semble que la directive de 1995 de l’Union Européenne sur la protection des données ait encouragé le Canada à adopter une loi relative à la protection des renseignements personnels applicable au secteur privé. Finalement, des années 1980 jusqu’à l’adoption de la LPRPDE, des comités au Canada se sont penchés sur la question de la protection des renseignements personnels dans le secteur privé et le résultat de leur travail a influencé le contenu des dispositions de la LPRDE.
CÔTE D’IVOIRE
En Côte d’Ivoire, l’Assemblée nationale a adopté la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel. Elle a été par la suite promulguée par le Président de la république, publiée au journal officiel le 08 août 2013 et est entrée en vigueur le 13 août 2013. Cette loi a pour objet de transposer dans la législation nationale l’Acte Additionnel A/SA.1/01/10 du 16 février 2010 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO. Elle intègre également des dispositions pertinentes non prévues par le texte de la CEDEAO, mais contenues dans d’autres instruments juridiques internationaux notamment
FRANCE Non, il s’agit de la loi française n°78-17 du 6 janvier 1978 « Informatique et libertés »
GABON Il ne s’agit pas d’une simple transposition d’une législation internationale. La Loi adoptée par le Gabon s’inspire cependant des textes internationaux.
MALI Il s’agit d’une transposition d’un Traité international sur la protection des données
QUEBEC
Les deux lois québécoises pertinentes (la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels de 1982 et la Loi sur la protection des renseignements personnels dans le secteur privé de 1993) n’ont pas transposé de manière littérale des règles de droit international. Elles ont toutefois été adoptées en conformité avec les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (OCDE, 23 septembre 1980). De plus, la Loi sur la protection des renseignements personnels dans le secteur privé s’inspire de ce qui est devenu la Directive européenne 95/46/CE portant sur la protection des données à caractère personnel.
ROUMANIE
Tout d’abord, il faut souligner que la protection des personnes à l'égard du traitement des données à caractère personnel est un droit fondamental consacré par la Charte des droits fondamentaux de l'UE (article 8) et par le Traité sur le fonctionnement de l'Union européenne (article 16). Grâce à l’étroite coopération entre les juristes roumains et les experts de la Commission européenne, la Loi 677/2001 relative à la protection des personnes à l’égard du traitement des données à caractère personnel et la libre circulation de ces données est inspirée de la Directive européenne sur la protection des données de 1995. Dans le même contexte, on peut mentionner la transposition dans la législation roumaine d’autres directives européennes en matière (95/46/CE , 2002/58/CE, 2000/ 31/CE etc.). La Roumanie a adopté en 2001 la Loi 682 pour la ratification de la Convention 108 du Conseil de l’Europe. En ce qui concerne le projet de règlement européen sur la protection des données de 2012, c’est important à mentionner que Le Conseil Européen travaille actuellement à un paquet législatif proposé par la Commission Européenne en 2012, afin de mettre à jour et de moderniser législation en matière de protection des données. Ce paquet se compose de deux instruments législatifs: le règlement général sur la protection des données (destiné à remplacer la directive 95/46/CE) et la directive concernant la protection des données traitées à des fins répressives (destinée à remplacer la décision-cadre de 2008 sur la protection des données). Le Règlement et la Directive devraient entrer en vigueur au printemps 2018.
SENEGAL Non, la loi sénégalaise résulte d’une volonté des autorités.
42
SUISSE Oui, Convention 108 et son protocole additionnel
TUNISIE
La loi n° 2004-63 a été prise conformément aux Directives européennes sur la protection des données de 1995. Notons que la Tunisie a déposé sa demande d’adhésion en juillet 2015 à la Convention N° 10 du Conseil de l’Europe concernant la protection des données personnelles, que le Comité des ministres du Conseil de l’Europe a invité la Tunisie le 2 decembre 2015 à adhérer à la Convention de protection des donnees du Conseil de l’Europe et que la Tunisie doit ratifier cette Convention et amender la loi n° 2004 -63 pour se conformer aux normes. Cette action devra être complétée par la demande de l’adhésion de la Tunisie à la convention du Conseil de l’Europe sur la cybercriminalité.
3. Cette législation communautaire ou ce traité international prévoit-t-il la mise en place d’une autorité nationale de protection des données ?
ANDORRE OUI.
CANADA Oui, la LPRP prévoit la mise en place d’une autorité nationale de protection des données. Cette autorité est le commissaire à la protection de la vie privée du Canada. Le commissaire à la protection de la vie privée est appuyé par le personnel du Commissariat à la protection de la vie privée du Canada.
COTE D’IVOIRE
Oui
MALI Oui
QUEBEC La loi québécoise n’est pas une transposition d’une législation communautaire ou d’un traité international. Toutefois, il nous a semblé pertinent de répondre aux deux volets 3.a et 3.b du questionnaire puisque ces deux parties permettent de fournir des renseignements appropriés sur le système québécois en matière de protection des renseignements personnels.
ROUMANIE
OUI. Dans tous les Etats membres de l’Union européenne, l’activité de protection des données à caractère personnel est assurée par des autorités et des institutions expressément établies à cette fin.
SUISSE Oui.
TUNISIE oui
3. a- Si non, quelle institution de votre pays est en charge du contrôle de l’application de la loi ?
QUEBEC En 1982, le législateur a créé la Commission d’accès à l’information du Québec. Il a aussi confié à cet organisme le dossier de la protection des renseignements personnels dans le secteur public. En 1994, les pouvoirs de la Commission ont été étendus au secteur privé.
3. a. 1- Comment s’articule ses missions avec celles résultant de la loi en matière de protection des données ?
QUEBEC Le Rapport annuel de gestion 2013-2014 produit par la Commission présente sa double mission de la façon qui suit : La mission de la Commission d’accès à l’information consiste à promouvoir l’accès aux documents des organismes publics et la protection des renseignements personnels dans les secteurs public et privé, en assurer la surveillance et décider des demandes de révision et d’examen de mésentente qui lui sont présentées.
3. a. 2- Quelles sont les synergies d’action ou clivages entre les différentes missions ?
SENEGAL
Concernant les clivages entre les différentes missions, la Commission Nationale de Protection des Données Personnelles n’intervient que quand la « requérant » parvient à identifier la personne incriminée. Elle fait face ä des limites objectives quand il s’agit de réprimer. Elle est tenue d’informer, sans délai, le Procureur de la République, des infractions dont elle a connaissance. NB : La Commission Nationale de Protection de Données Personnelles peut s’autosaisir quand un enregistrement est mis en ligne sur un site internet. Dans ce cas, elle saisit le responsable du site et lui demande de retirer la vidéo ou l’enregistrement sonore incriminé. C’est la même démarche qui est adoptée quand quelqu’un met la photo d’autrui en Iigne.
QUEBEC
Il existe au sein de la Commission d’accès à l’information une direction de la surveillance (et d’enquête) et une division juridictionnelle. Celles-ci agissent dans les deux champs de la protection des renseignements personnels et de l’accès à l’information. Le président de la Commission assigne les dossiers aux membres (juges administratifs) des deux sections. Il favorise également la participation des membres à l’élaboration des orientations générales de la Commission, en vue de maintenir la qualité et la cohérence des décisions. De plus, le président veille au respect de la déontologie et au perfectionnement des membres.
3. a. 3- Quels sont les mécanismes de résolution des conflits d’intérêt éventuels ?
SENEGAL
La qualité de membre de la Commission Nationale de Protection de Données Personnelles est incompatible avec la qualité de membre du gouvernement, de l’exercice des fonctions de dirigeants d’entreprises, de la détention de participation dans les entreprises du secteur de l’informatique et des télécommunications. Ainsi, tout membre de la commission doit informer celle-ci des intérêts directs ou indirects qu’il détient ou vient ä détenir, des fonctions qu’il exerce ou vient ä exercer, et de tout mandat qu’il détient ou vient à détenir au sein d’une personne morale. Le cas échéant, la Commission prend toutes les dispositions utiles pour assurer l’indépendance et l’impartialité de ses membres. Un code de conduite est mis en place, par la commission, à cet effet.
QUEBEC
Voici certaines dispositions législatives pertinentes en matière de conflits d’intérêts : Code de déontologie des membres de la Commission d'accès à l'information Art. 11. Le membre s'abstient de se trouver dans une situation de conflit d'intérêts ou susceptible de porter atteinte à la dignité de sa charge ou de discréditer la Commission. Art. 14. Le membre divulgue auprès du président de la Commission tout intérêt direct ou indirect qu'il a dans une entreprise et qui est susceptible de mettre en conflit son intérêt personnel et les devoirs de sa charge. Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels
43
Art. 112. Aucun membre de la Commission ne peut, sous peine de déchéance de sa charge, avoir un intérêt direct ou indirect dans une entreprise mettant en conflit son intérêt personnel et celui de la Commission. Toutefois, cette déchéance n'a pas lieu si cet intérêt lui échoit par succession ou par donation, pourvu qu'il y renonce ou en dispose avec diligence. Art. 113. Un membre de la Commission ou de son personnel ne peut être poursuivi en justice en raison d'un acte officiel accompli de bonne foi dans l'exercice de ses fonctions.
3. b- Si oui, cette autorité nationale de protection des données est-elle déjà installée ?
ANDORRE OUI. L’Agence andorrane de sécurisation des données (APDA), créée par la Loi qualifiée n° 15/2003 du 18 décembre 2003 relative à la protection des données à caractère personnel, est en fonctionnement depuis 2005.
BELGIQUE
La directive européenne demande la création, dans chaque Etat membre, d’un organisme national indépendant chargé de la supervision de toutes les activités liées au traitement des données à caractère personnel. Il existait déjà une Commission vie privée depuis 1992, chargée de conseiller et d’être le médiateur pour toutes les matières liées à la protection de la vie privée et des données à caractère personnel. Mais cette commission, instituée au sein du Ministère de la Justice, ne jouissait pas d’une totale indépendance. Grâce à la loi du 26 février 2003 transposant la directive européenne 95/46/CE, la Commission vie privée exerce depuis le 1er janvier 2004 sa mission de contrôle de manière indépendante, sous les auspices de la Chambre des représentants.
CANADA
Oui, le premier commissaire à la protection de la vie privée du Canada a été nommé en 1977 à la suite de l’adoption des premières dispositions en matière de protection de la vie privée au Canada : En 1977, suite à la parution d'un rapport recommandant l'adoption de mesures législatives portant sur la protection des renseignements personnels contenus dans les banques de données fédérales, le Parlement a adopté la Loi canadienne sur les droits de la personne dont la partie IV créait le poste de Commissaire à la protection de la vie privée . Tel que mentionné plus haut, depuis 1983, la fonction de commissaire à la protection de la vie privée est régie par la LPRP. La LPRPDE confère également certains pouvoirs au commissaire dans le cadre de l’application de cette Loi.
CÔTE D’IVOIRE
En Côte d’Ivoire les missions de l’Autorité de protection des données à caractère personnel sont exercées par l’Autorité de Régulation des Télécommunications/TIC (ARTCI).
FRANCE Oui : il s’agit de la Commission Nationale Informatique et Libertés (CNIL)
GABON La Loi gabonaise dont les références sont citées ci-dessus (section 1) prévoit la mise en place d’une autorité nationale de protection de données personnelles dénommée : La Commission Nationale pour la Protection des données à Caractère personnel, en abrégée CNPDCP. Cette Commission a été mise en place depuis novembre 2012.
MALI Oui.
QUEBEC En 1982, le législateur a créé la Commission d’accès à l’information du Québec. Il a aussi confié à cet organisme le dossier de la protection des renseignements personnels dans le secteur public. En 1994, les pouvoirs de la Commission ont été étendus au secteur privé.
ROUMANIE
Au moment de l’adoption de la loi 677/2001, c’était l’avocat du peuple qui a été chargé de l’établissement, au sein de l’institution de l’Avocat du Peuple, d’une direction spéciale pour remplir la nouvelle mission de protection des données personnelles. En 2005, le Parlement a remis en question cet arrangement: le pouvoir de sanction en matière de protection des données personnelles dont avait été investi l’Avocat du Peuple, était difficilement conciliable avec son statut de médiateur, habilité à n’émettre que des recommandations. De plus, en vertu de la Directive européenne de 1995, cette structure de contrôle devrait bénéficier d’une réelle indépendance au sein de l’appareil de l’État. En conséquence, le Parlement a adopté la Loi 102/2005 portant création, organisation et fonctionnement de l’Autorité Nationale de Contrôle du Traitement des Données à Caractère Personnel (ANCTDCP) comme autorité publique, autonome et indépendante. La nouvelle créée Autorité a pleinement bénéficié du support des experts de la Commission européenne. De plus, les fonctionnaires de l’Autorité ont été associés aux réunions et aux travaux du «Groupe de l’article 29» de la Commission européenne. A présent, ANCTDCP participe très activement aux chantiers menés par ce Groupe dans des domaines comme la biométrie et le e - gouvernement.
SENEGAL Oui - Il s’agit de la Commission Nationale de protection des Données Personnelles.
SUISSE Oui, la LPD a prévu la mise en place d’une autorité nationale : le Préposé fédéral à la protection des données et à la transparence (PFPDT)
TUNISIE Oui, prévue par la loi de 2004, elle n’a été créée qu’en 2008. le décret 2008-1753 du 5 mai 2008 nomme sa première composition
3. b. 1- Quelles sont ses missions ? S’agit-il d’une institution dédiée uniquement au contrôle de l’application de la loi de protection des données ? A-t-elle des compétences dans d’autres domaines ? (Exemples : Protection d’autres droits que ceux relatifs à la protection des données? Régulation des télécommunications ?)
ANDORRE
Les missions de l’APDA sont les suivantes : a) Veiller au respect de la loi de protection des données. b) Gérer le Registre public d’inscription des fichiers de données personnelles. c) Publier annuellement la liste des pays avec une protection équivalente. d) Exercer le pouvoir d’inspection et de sanction pour les infractions qui sont décrites dans la loi de protection des données. e) Proposer les améliorations des normes de protection des données personnelles qu’elle considère pertinentes. f) Élaborer un mémoire annuel sur son activité et les résultats qui en découlent. Le mémoire annuel est public. L’APDA est une institution uniquement dédiée au contrôle de l’application de la loi de protection des données.
BELGIQUE La Commission vie privée a pour mission de veiller au respect de la vie privée lors du traitement de données à caractère personnel. Elle permet aux entreprises de constituer leur base de données en toute légalité
44
et intervient lors des litiges relatifs au traitement des données à caractère personnel. Sa mission concerne donc uniquement le contrôle de l’application de la loi de protection des données. Voici ses compétences : - Emettre des avis à l’égard des différents législateurs nationaux relatifs aux textes législatifs qui sont en rapport avec la protection des données à caractère personnel; - Accorder des autorisations aux entreprises sur le traitement et le partage des données à caractère personnel et, dans un même temps, évaluer également la sécurité des traitements de données; - Effectuer des contrôles et des inspections en ce qui concerne le respect de la législation relative à la vie privée; - Fournir des informations au Parlement et aux instances publiques tant qu’aux responsables du traitement et au grand public; - Fournir une assistance à tous ces groupes cibles afin de faire respecter correctement la législation relative à la vie privée; - Traiter des plaintes concernant le traitement des données à caractère personnel; collaborer avec des homologues au niveau européen et mondial
CANADA
Le commissaire à la protection de la vie privée du Canada a pour mandat de surveiller le respect de la LPRP et de la LPRPDE. De plus, le commissariat à la protection de la vie privée a pour mission « de protéger et de promouvoir le droit des personnes à la vie privée ». Ainsi, il s’agit d’une organisation dédiée principalement au contrôle des lois fédérales en matière de protection de renseignements personnels. Dans le cadre de son mandat, le commissaire à la protection de la vie privée mène les activités suivantes :
• examiner les plaintes et publier des rapports contenant des recommandations adressées aux institutions fédérales et à des organisations du secteur privé pour remédier à des situations, s’il y a lieu;
• intenter des poursuites devant la Cour fédérale lorsque les questions ne sont toujours pas réglées;
• évaluer le respect des obligations énoncées dans la Loi sur la protection des renseignements personnels et la LPRPDE en menant des activités indépendantes de vérification et d’examen, et en en publiant les conclusions;
• examiner les évaluations des facteurs relatifs à la vie privée (ÉFVP) des initiatives gouvernementales nouvelles et existantes et donner des conseils en la matière;
• fournir des analyses juridiques et stratégiques et l’expertise nécessaire pour guider le Parlement dans son examen des lois en constante évolution afin d'assurer le respect du droit des personnes à la protection de la vie privée;
• répondre aux demandes des parlementaires, des Canadiennes et des Canadiens et des organisations qui veulent obtenir des renseignements et des directives et prendre les mesures proactives nécessaires pour informer ceux-là des questions émergentes concernant la protection de la vie privée;
• promouvoir la sensibilisation du grand public et le respect des lois, favoriser la compréhension des droits et obligations en matière de protection de la vie privée par l'entremise de la participation proactive des institutions fédérales, des associations industrielles, de la communauté juridique, des universitaires, des associations professionnelles et d’autres intervenants; préparer et publier des documents d’information publique, des positions sur les lois nouvelles, les règlements et les politiques, des documents d’orientation et les conclusions de recherche que pourront utiliser le grand public, les institutions fédérales et les organisations du secteur privé;
• fournir des opinions juridiques et entamer des poursuites pour faire avancer l’interprétation et l’application des lois fédérales sur la protection des renseignements personnels;
• surveiller les tendances relatives aux pratiques en matière de protection de la vie privée, repérer les enjeux systémiques en la matière qui doivent être abordés par les institutions fédérales et les organisations du secteur privé et promouvoir l’intégration des pratiques exemplaires;
• travailler en collaboration avec les intervenants œuvrant dans le domaine de la protection de la vie privée dans les provinces et territoires au Canada ainsi que sur la scène internationale pour aborder les enjeux internationaux relatifs à la protection de la vie privée qui résultent de la circulation transfrontalière de plus en plus grande des données .
Finalement, depuis quelques années, le commissaire à la protection de la vie privée a de nouvelles responsabilités en ce qui a trait à Loi canadienne anti-pourriel (LCAP). La LCAP été adoptée en décembre 2010 et elle est entrée en vigueur le 1er juillet 2014, à l’exception des dispositions visant l’installation non sollicitée de programmes d’ordinateur ou de logiciels, qui sont entrées en vigueur le 15 janvier 2015. La LCAP interdit notamment d’envoyer des messages électroniques commerciaux sans le consentement des destinataires, y compris des messages envoyés à des adresses électroniques, à des comptes de réseaux sociaux et des messages textes à des cellulaires. Le commissaire à la protection de la vie privée partage les responsabilités relatives à la LCAP avec le Conseil de la radiodiffusion et des télécommunications canadiennes et le Bureau de la concurrence du Canada. Précisément, les responsabilités du Commissariat à la protection de la vie privée se concentrent sur deux types d’infraction prévus dans la LCAP :
• la collecte d’adresses électroniques, selon laquelle des listes en vrac d’adresses électroniques sont compilées par divers mécanismes, dont des programmes informatiques qui fouillent de façon automatique Internet pour y trouver des adresses;
• la collecte de renseignements personnels en accédant aux systèmes informatiques d’autres personnes de manière illicite, principalement au moyen de logiciels espions.
CÔTE D’IVOIRE
L’ARTCI exerce trois types d’attribution: - l’information et la sensibilisation des populations et des responsables de traitement sur leurs droits et obligations; - la réception des demandes et l’octroi des récépissés de déclaration et la délivrance des autorisations pour le traitement des données à caractère personnel; - le contrôle proactif du respect des dispositions légales en matière de protection des données à caractère personnel, la réception des réclamations et des plaintes des personnes concernées, et la sanction, le cas échéant, du non-respect de la loi. Née de la fusion du Conseil des Télécommunications de Côte d’Ivoire (CTCI) et de l’Agence des Télécommunications de Côte d’Ivoire (ATCI), l'Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI) n’est pas uniquement dédiée à la protection des données à caractère personnel. Elle exerce d’autres missions notamment celle de la régulation des télécommunications, qui est sa fonction première.
FRANCE La CNIL accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits. Elle analyse l’impact des innovations technologiques et des usages émergents sur la vie privée et les libertés. Enfin, elle travaille en étroite collaboration avec ses homologues européens et internationaux pour élaborer une régulation harmonisée.
45
Elle n’agit pas dans d’autres domaines.
GABON
Missions de la Commission : La Commission Nationale pour la Protection des Données à Caractère Personnel a pour but de lutter contre les atteintes à l’identité humaine, aux droits de l’homme, à la vie privée, aux libertés individuelles ou publiques susceptibles d’être engendrées par la collecte, le traitement, la transmission, le stockage et l’usage des données personnelles des citoyens. La Commission veille à l’application de la Loi en la matière et n’a pas d’autres compétences en dehors de la mission ainsi décrite.
MALI
L’Autorité de Protection des Données à Caractère Personnel a pour mission d’assurer la Protection des Données à Caractère Personnel et de Participer à la Réglementation du Secteur. A ce titre, elle est chargée de : – Fixer les normes et finalités de la collecte , du traitement ou de la conservation des données personnelles – Donner l’autorisation préalable sous forme d’agrément à toute interconnections de données – Autoriser le transfert de données – Informer et conseiller les personnes concernées et les responsables du traitement de données leurs droits et obligations – S’assurer que les traitements ne puissent comporter de menaces à l’égard des données relatives à la vie privée ; – Recevoir les réclamations relatives à la mise en œuvre des traitements des données à caractères personnel ; – Procéder aux contrôles nécessaires du traitement régulier des données à caractère personnel – Infliger des sanctions administratives à l’égard de tout responsable de traitement en cas de manquement à ses obligations – Saisir sans délai le Procureur de la République compétent des infractions dont elle a connaissance sur la manipulation frauduleuse de données à caractère personnel – Tenir le répertoire des traitements des données à caractère personnel à la disposition du public – Donner son avis sur tout projet de loi ou de décret relatif à la protection des données à caractère personnel – Demander au gouvernement de procéder à toute modification nécessaire des textes, ou de prendre, le cas échéant, tout nouveau texte nécessaire à la saine protection des données à caractère personnel
QUEBEC Le Rapport annuel de gestion 2013-2014 produit par la Commission présente sa double mission de la façon qui suit : La mission de la Commission d’accès à l’information consiste à promouvoir l’accès aux documents des organismes publics et la protection des renseignements personnels dans les secteurs public et privé, en assurer la surveillance et décider des demandes de révision et d’examen de mésentente qui lui sont présentées.
ROUMANIE
ANCTDCP a pour but la protection des droits et des libertés fondamentales des personnes physiques, notamment du droit à la vie intime, familiale et privée par rapport au traitement des données à caractère personnel et leur libre circulation. Elle surveille et contrôle le respect de la légalité du traitement des données à caractère personnel.
SENEGAL La Commission Nationale de Protection des Données Personnelles a pour principales missions de sensibiliser tous les acteurs sur les enjeux de protection des données personnelles, de protéger le citoyen contre les abus, de conseiller les pouvoirs publics, de contrôler les traitements en cours et de sanctionner les manquements à la législation en vigueur.
SUISSE
Le préposé fédéral à la protection des données et à la transparence (PFPDT) accomplit notamment les tâches suivantes : • surveillance des organes fédéraux • surveillance des personnes privées • conseil aux personnes privées • Soutien et conseil aux organes fédéraux et cantonaux • avis sur les projets législatifs de la Confédération • collaboration avec les organes de protection des données nationaux et internationaux • information du public • tenue et publication du registre des fichiers
TUNISIE
L’instance INPDCP est chargée en vertu de la loi n°2004-63 des missions suivantes: - Accorder les autorisations, recevoir les déclarations pour la mise en œuvre du traitement des données à caractère personnel, ou les retirer dans les cas prévus par la loi ; - Recevoir les plaintes portées dans le cadre de la compétence qui lui est attribuée en vertu de la loi ; - Déterminer les garanties indispensables et les mesures appropriées pour la protection des données à caractère personnel ; - Accéder aux données à caractère personnel faisant l'objet d'un traitement afin de procéder à leur vérification, et collecter les renseignements indispensables à l'exécution de ses missions ; - Donner son avis sur tout sujet en relation avec les dispositions de la loi ; - Elaborer des règles de conduite relatives au traitement des données à caractère personnel ; - Participer aux activités de recherche, de formation et d'étude en rapport avec la protection des données à caractère personnel, et d'une manière générale à toute activité ayant un rapport avec son domaine d'intervention. L'instance peut procéder aux investigations requises en recueillant les déclarations de toute personne dont l'audition est jugée utile et en ordonnant de procéder à des constatations dans les locaux et lieux où a eu lieu le traitement à l'exception des locaux d'habitation.
3. b. 2- Cette autorité a-t-elle : Un pouvoir réglementaire ? Un pouvoir de contrôle ? Un pouvoir de sanction ? (si OUI, donner un exemple pour chacun)
46
ANDORRE
L’APDA ne dispose pas de pouvoir réglementaire mais peut proposer les améliorations des normes de protection des données personnelles qu’elle considère pertinentes. L’APDA dispose d’une compétence d’inspection. L’inspection peut être engagée par l’APDA à sa propre initiative ou à la demande de toute personne intéressée qui considère soit que ses droits ont été affectés soit qu’un responsable de traitement n’a pas respecté les obligations établies dans la loi de protection des données. L’APDA dispose de la capacité d’imposer les sanctions prévues par la loi de protection des données. Le non-respect de la loi est objet de sanction administrative. Le premier non-respect par un responsable de fichier est sanctionné par une amende d’un montant maximal de 50.000 €. Les non respects suivants par un montant maximal de 100 000 €. Le montant de la sanction est fixé par l’APDA en tenant compte les circonstances concrètes de l’infraction, la gravité du non-respect, le nombre de personnes affectées, les préjudices causés et la récidive
BELGIQUE
En cas de difficultés rencontrées dans l’exercice de droits consacrés par la loi ou en cas de non-respect d’obligations découlant de la loi, la personne concernée peut adresser une plainte à la Commission vie privée. Cette Commission intervient pour amener le responsable du traitement à respecter les obligations que lui impose la loi. Elle s’efforce de résoudre les litiges à l’amiable. En cas d’insuccès, la Commission vie privée émet un avis sur le caractère fondé de la plainte. Si elle constate une infraction, elle la dénonce au procureur du Roi. Le président de la Commission vie privée peut aussi soumettre au tribunal de première instance tout litige concernant l’application de la loi vie privée. Par conséquent, la Commission vie privée a bien un pouvoir de contrôle, mais ni un pouvoir réglementaire, ni un pouvoir de sanction.
CANADA
Le commissaire à la protection de la vie privée n’a pas de pouvoir règlementaire, ni de pouvoir de contrôle, ni de pouvoir de sanction. Le commissaire à la protection de la vie privée est basé sur un modèle d’ombudsman. Celui-ci reçoit des plaintes et procède à des enquêtes en vertu de la LPRP et la LPRPDE. Basé sur un modèle d’ombudsman, ce dernier tente de régler les plaintes en misant sur la persuasion et la conciliation. La LPRP et la LPRPDE lois prévoient principalement des pouvoirs d’enquêtes et de recommandation pour le commissaire à la protection de la vie privée. A. La Loi sur la protection des renseignements personnels En vertu de la LPRP, tout individu peut déposer une plainte auprès du commissaire à la protection de la vie privée . Ce dernier peut également prendre l’initiative d’une plainte. Ainsi, le commissaire à la protection de la vie privée fait enquête sur les plaintes reçues et ses enquêtes sont secrètes. Étant basé sur un modèle d’ombudsman, le commissaire essaie de régler les plaintes qu’il reçoit par la persuasion et la négociation. Néanmoins, le commissaire possède des pouvoirs d’enquête plus contraignants. Notamment, il a le pouvoir d’assigner et de contraindre des témoins à comparaître devant lui, faire prêter serment et de pénétrer dans les locaux occupés par une institution fédérale . À la fin d’une enquête, lorsque le commissaire conclut au bien-fondé d’une plainte, celui-ci adresse un rapport au responsable de l’institution. Ce rapport présente les conclusions de son enquête et ses recommandations. Le commissaire peut également demander au responsable de l’institution fédérale de lui donner avis, dans un délai déterminé, des mesures prises ou envisagées pour la mise en œuvre de ses recommandations ou les motifs invoqués pour ne pas y donner suite . Lorsqu’il y a refus par l’institution fédérale de communiquer les renseignements personnels demandés, le commissaire, peut, à l’issue de son enquête, exercer un recours en révision de ce refus devant la Cour fédérale, lorsque l’individu qui avait demandé les renseignements y consent. Si la Cour fédérale conclut que le refus de l’institution fédérale n’était pas fondé sur des motifs raisonnables, la Cour peut ordonner à l’institution fédérale la communication des renseignements à l’individu qui en avait fait la demande . B. La Loi sur la protection des renseignements personnels et les documents électroniques En vertu de la LPRPDE, tout intéressé peut déposer auprès du commissaire une plainte. Le commissaire à la protection de la vie privée a le pouvoir de recevoir les plaintes au sujet de tout aspect de la conformité d’une organisation aux dispositions législatives sur la protection des données et d’enquêter sur ces plaintes. Le commissaire peut également prendre l’initiative d’une plainte . Étant basé sur un modèle d’ombudsman, le commissaire essaie de régler les plaintes qu’il reçoit par la persuasion et la négociation. La LPRPDE mentionne que celui-ci peut tenter de parvenir au règlement d’une plainte en ayant recours à un mode de règlement des différends tels que la médiation ou la conciliation . Néanmoins, il est investi de pouvoirs d’enquête plus contraignants tels que les pouvoirs d’assigner et contraindre des témoins à comparaître devant lui, de faire prêter serment et de visiter, à toute heure convenable, tout local (autre qu’une maison d’habitation) occupé par l’organisation visée par une enquête . À la fin d’une enquête, le commissaire à la protection de la vie privée dresse un rapport présentant ses conclusions. Le commissaire a également le pouvoir de formuler des recommandations. Son rapport peut demander à l’organisation visée par l’enquête de lui donner, dans un délai déterminé, des mesures prises ou envisagées pour la mise en œuvre des recommandations ou des motifs pour ne pas y donner suite . Après avoir dressé son rapport, le commissaire a la possibilité s’adresser à la Cour fédérale et peut lui demander, notamment, de rendre une ordonnance afin que l’organisation se conforme à la LPRPDE et d’accorder au plaignant des dommages-intérêts . Les pouvoirs suivants sont également conférés au commissaire : • procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels ; • rendre publique toute information relative aux pratiques d’une organisation en matière de gestion des renseignements personnels, s’il estime que cela est dans l’intérêt public ; • conclure une entente avec tout homologue provincial en vue de coordonner les activités de leurs bureaux respectifs ; • effectuer des recherches et en publier les résultats, et élaborer des contrats types portant sur la protection des renseignements personnels recueillis, utilisés ou communiqués d’une province à l’autre ou d’un pays à l’autre ; • mettre au point à l’intention du grand public des programmes d’information afin qu’il comprenne mieux les dispositions de la LPRPDE.
CÔTE D’IVOIRE
✓ Pouvoir règlementaire : L’ARTCI dispose d’un pouvoir réglementaire dont l’étendue et le mode d’exercice sont précisés. A ce titre elle est chargée de faire appliquer les lois et les règlements régissant le secteur des Télécommunications/TIC
✓ Pouvoir de contrôle : L'Autorité de Régulation des Télécommunications/TIC exerce un contrôle sur les tarifs d’itinérance internationale. A cet effet, elle : - enquête sur les prix d’itinérance pratiqués dans l’espace communautaire; - procède à des consultations avec les acteurs concernés en vue d’arriver à des tarifs raisonnables permettant à un maximum d’itinérants dans la région de pouvoir utiliser les réseaux
47
aux meilleurs prix et qualité; - identifie les opérateurs pratiquant des tarifs abusifs et demande l’avis de l’autorité en charge de la concurrence; 24 - permet aux abonnés des services prépayés de bénéficier du service d’itinérance à des tarifs raisonnables; - informe clairement et de façon transparente et détaillée les clients des tarifs appliqués pour l’itinérance; - tire des enseignements de la pratique tarifaire internationale.
✓ Pouvoir de sanction : L’ARTCI prononce des sanctions administratives et pécuniaires à l’égard des responsables de traitement qui ne se conforment pas aux dispositions de la loi sur la protection des données à caractère personnel notamment un avertissement à l’égard du responsable du traitement qui ne respecte pas les obligations découlant de la présente loi ; une mise en demeure de faire cesser les manquements observés dans le délai qu’elle fixe
FRANCE
La CNIL a 4 missions principales : 1. Informer / protéger La CNIL informe les particuliers et les professionnels et répond à leurs demandes. Elle met à leur disposition des outils pratiques et pédagogiques et intervient très régulièrement pour animer des actions de formation et de sensibilisation, notamment dans le cadre de l’éducation au numérique. Toute personne peut s'adresser à la CNIL en cas de difficulté dans l'exercice de ses droits. 2. Accompagner /conseiller La régulation des données personnelles passe par différents instruments qui poursuivent tous un objectif de mise en conformité des organismes : avis sur des projets de loi ou de décret, autorisation pour les traitements les plus sensibles, recommandations fixant une doctrine, cadres juridiques simplifiant les formalités préalables, réponse à des demandes de conseils. La CNIL propose également une boîte à outils aux organismes qui souhaitent aller plus loin dans leur démarche de conformité : correspondants informatique et libertés (CIL), labels, packs de conformité (référentiels sectoriels), BCR (Binding Corporate Rules) qui encadrent les transferts de multinationales hors de l’Union Européenne. 3. Contrôler et sanctionner Le contrôle sur place ou en ligne permet à la CNIL de vérifier la mise en œuvre concrète de la loi. La CNIL est également compétente pour contrôler les systèmes de vidéoprotection. Lors d’un contrôle sur place, la CNIL peut accéder à tous les locaux professionnels, demander communication de tout document nécessaire et en prendre copie, recueillir tout renseignement utile, accéder aux programmes informatiques et aux données. A l'issue des contrôles, le Président de la CNIL peut décider des mises en demeure. La formation restreinte de la CNIL, composée de 5 membres et d'un Président distinct du Président de la CNIL, peut prononcer diverses sanctions. Dans l'hypothèse où le Président de la CNIL a, au préalable, prononcé une mise en demeure, et que le responsable de traitement ne s'y est pas conformé, la formation restreinte peut prononcer, à l'issue d'une procédure contradictoire : Une sanction pécuniaire (sauf pour les traitements de l’État) d’un montant maximal de 150.000€, et, en cas de récidive, jusqu’à 300.000 €. Cette sanction peut être rendue publique ; la formation contentieuse peut également ordonner l'insertion de sa décision dans la presse, aux frais de l'organisme sanctionné. Le montant des amendes est perçu par le Trésor Public et non par la CNIL. Elle peut également enjoindre de cesser le traitement ou retirer l’autorisation accordée. En cas d’atteinte grave et immédiate aux droits et libertés, le président de la CNIL peut demander, par référé, à la juridiction compétente, d’ordonner toute mesure de sécurité nécessaire. Il peut également dénoncer au Procureur de la République les infractions à la loi informatique et libertés. 4. Anticiper Dans le cadre de son activité d’innovation et de prospective, la CNIL met en place une veille pour détecter et analyser les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie privée. Elle dispose d’un laboratoire lui permettant d’expérimenter des produits ou applications innovants. Elle contribue au développement de solutions technologiques protectrices de la vie privée en conseillant les entreprises le plus en amont possible, dans une logique de privacy by design. Pour renforcer sa réflexion, elle a créé un comité de la prospective faisant appel à des experts extérieurs qui la conseille pour élaborer un programme annuel d’études et d’explorations. Elle établit en outre un rapport annuel relatant ses activités et comprenant des analyses juridiques, un bilan détaillé de ses activités, les sujets de réflexion de l’année écoulée et un bilan financier et organisationnel. Ce rapport est librement consultable sur le site internet de l’Autorité.
GABON
La CNPDCP dispose d’un pouvoir règlementaire. A ce titre (article 34 de la loi) elle peut faire des recommandations et prendre des décisions. Elle exerce aussi un pouvoir de contrôle dans le cadre du traitement des données à caractère personnel (article 97 de la loi). Par ailleurs, elle a un pouvoir de sanction et peut par conséquent prononcer les sanctions administratives suivantes:
- l’avertissement ;
- la mise en demeure ;
- le retrait provisoire d’autorisation administrative délivrée aux opérateurs;
- une amende pécuniaire ;
- l’interdiction de la mise en œuvre ;
- le verrouillage de certaines données ;
- l’interdiction temporaire ou définitive d’un traitement (articles 101-103 de la loi n°1/2011 précitée).
MALI : L’Autorité a les trois pouvoirs : règlementaire, de contrôle et de sanction.
48
QUEBEC
Pouvoir réglementaire Les articles 110.1 et 137.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels donnent à la Commission d’accès à l’information un pouvoir d’édicter des règlements en matière de régie interne, de déontologie, de preuve et de procédure. En 2006, le Code de déontologie des membres de la Commission (qui a valeur de règlement) a été adopté. Pouvoir de contrôle La Direction de la surveillance est chapeautée par au moins un commissaire. Elle intervient lorsque les citoyens se plaignent du non-respect de leurs données personnelles dans les secteurs public et privé. L’un des membres du personnel de la Commission peut se voir confier un mandat d’enquête. Il dispose dans ce cas des pouvoirs qui sont dévolus à un commissaire nommé selon la Loi sur les commissions d’enquête (sauf le pouvoir d’ordonner l’emprisonnement). Ce professionnel peut exiger notamment d’avoir accès à tous les renseignements qui sont nécessaires pour faire la lumière sur le présumé problème. Au terme de l’enquête, un membre de la Commission (et juge administratif) se saisit du rapport. Il sollicite les vues des parties en cause avant de rendre une décision qui est exécutoire et contraignante. Pouvoir de sanction Le chapitre VII de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (art. 158 à 194) traite des infractions à la Loi. L’article 164 donne à la Commission le pouvoir d’intenter une poursuite pénale pour sanctionner le non-respect de l’une de ses dispositions.
ROUMANIE
OUI. Le pouvoir réglementaire: o autorise le traitement des données dans les conditions prévus par la loi; o rédige des propositions de lois ou d’amendements à la législation en vigueur relative au traitement des données à caractère personnel; o tient et met à la disposition du publique le registre d’enregistrement des traitements des données à caractère personnel. Le pouvoir de contrôle: o coordonne et contrôle, aux fins de la licéité, les traitements des données à caractère personnel qui font l’objet de la Loi 677/2001. o peut investiguer, d’office ou à la réception d’une plainte, toute violation des droits et des libertés fondamentaux des personnes concernées et le respect des obligations juridiques incombant aux responsables du traitement de données; o émet des recommandations et des avis sur toute question visant la sauvegarde des libertés et des droits fondamentaux à l’égard du traitement des données personnelles à la demande de toute personne, des autorités publiques et des organes de l’administration publique. C’est important à mentionner qu’en vertu de la Loi, le secret d’Etat et le secret professionnel ne peuvent pas être invoqués pour empêcher l’ANCTDCP de remplir ses attributions. Le pouvoir de sanction: o dispose, en cas de violation de la loi, la suspension provisoire ou la cessation du traitement des données, l’effacement, partial ou total des données traitées et la saisie des organes judiciaires; o constate les contraventions et applique des sanctions en conformité avec la Loi portant régime juridique des contraventions.
SENEGAL
Non Oui, elle reçoit les réclamations, les pétitions et les plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et informe Ieurs auteurs des suites données à celles-ci. Depuis son installation, la Commission Nationale de Protection des Données Personnelles a reçu vingt-huit(28) plaintes, dont six(06) liées à des photos ou vidéos publiées sur les réseaux sociaux ; le reste concerne des affaires de vidéo surveillance ou d’installation de système biométrique à l’insu des employés dans une entreprise.
SUISSE Le préposé fédéral à la protection des données et à la transparence (PFPDT) a un pouvoir de contrôle. Il peut examiner les traitements de données des privées et des organes fédéraux. Il n’a pas de pouvoir de sanction, il peut juste émettre des recommandations.
TUNISIE
L’instance est une autorité de contrôle et de régulation L’instance doit informer le procureur de la République territorialement compétent de toutes les infractions dont elle a eu connaissance dans le cadre de son travail. (La loi prévoit des sanctions (emprisonnement et amendes)). Le secret professionnel ne peut être opposé à l'instance.
3. b. 3- S’agit-il d’une autorité indépendante ? Quel est son statut ? Reçoit-elle des instructions ?
ANDORRE
OUI. L’APDA est un établissement de droit public, ayant une personnalité juridique propre, indépendant des administrations publiques et doté de la pleine capacité pour agir. L’APDA n’a aucune forme de dépendance hiérarchique. Le chef de l’APDA remplit ses fonctions en toute indépendance, neutralité et objectivité, sans être soumis à aucune obligation impérative ni instruction.
BELGIQUE Il s’agit d’une autorité administrative indépendante. Comme son statut l’indique, il s’agit bien d’une autorité indépendante. Elle ne reçoit donc pas d’instruction. Ses membres prennent leurs décisions lors de séances des commissaires, organisées toutes les 3 semaines et préparées par son Secrétariat.
CANADA Le commissaire à la protection de la vie privée est un haut fonctionnaire du Parlement. À ce titre, le commissaire à la protection de la vie privée est indépendant du gouvernement et s’acquitte de fonctions de surveillance. Le commissaire rend des comptes directement au Parlement canadien plutôt qu’au gouvernement ou à un ministre du gouvernement fédéral.
CÔTE D’IVOIRE
- L’ARTCI est une autorité administrative indépendante dotée de la personnalité juridique et de l’autonomie financière. Les missions de régulation sont exercées par l’ARTCI de façon indépendante, impartiale et transparente.
49
- Dans l’exercice de leurs attributions, les membres de l’Autorité ne reçoivent d’instruction d’aucune autre autorité. Elle présente chaque année au Président de la République un rapport rendant compte de l’exercice de sa mission.
FRANCE Il s’agit d’une autorité administrative indépendante (AAI). Cette indépendance est garantie par sa composition et son organisation. En outre, un régime d’inamovibilité et d’incompatibilité frappe ses membres. Les AAI ne sont pas soumises aux pouvoirs hiérarchiques des ministères. Elles ne reçoivent d’eux ni ordres, ni consignes, ni conseils.
GABON La Commission Nationale Pour la Protection des Données à Caractère Personnel est une autorité administrative indépendante et autonome. Elle ne reçoit pas d’instructions et ne travaille que sous l’emprise de la loi qui fonde son existence et son fonctionnement. Elle a toutefois pour interface auprès du Gouvernement, le Ministère de l’Intérieur.
MALI C’est une Autorité indépendante.
QUEBEC La Commission d’accès à l’information constitue un organisme public et indépendant du gouvernement. Elle a un statut de tribunal administratif. La Loi ne donne pas à la ministre responsable de l’Accès à l’information et de la Réforme des institutions démocratiques le pouvoir de donner des instructions à la Commission. Certes, la ministre peut demander à la Commission de lui transmettre divers renseignements ou documents (art. 120).
ROUMANIE
L’ANCTDCP est une autorité publique autonome qui déploie ses activités en toute impartialité et indépendance par rapport à toute autre autorité de l’administration publique, ainsi que par rapport à toute autre personne physique ou personne morale de droit privé.
SENEGAL
Oui -Les membres de la Commission Nationale de Protection des Données Personnelles ont un mandat de quatre (4) ans renouvelable une (1) fois, ils sont inamovibles pendant la durée de Ieur mandat, il ne peut être mis fin aux fonctions de membres qu’en cas de démission ou d’un empêchement constaté par la commission dans les conditions prévues. Les membres de la commission jouissent d’une immunité totale pour les opinions émises dans l’exercice ou à l’occasion de l’exercice de leurs fonctions. - Elle ne reçoit d’instructions d’aucune autorité.
SUISSE Il s’agit d’une autorité indépendante qui ne reçoit pas d’instructions.
TUNISIE C’est une instance indépendante qui jouit de la personnalité morale et de l'autonomie financière. Son action reste totalement indépendante. L'Instance transmet un rapport annuel sur son activité au Président de la République
3. b. 4- Quel est le mode de désignation de ses membres ? La durée de leur mandat ? Dispose-t-elle d’une liberté de recrutement de ses collaborateurs ?
ANDORRE Les membres de l’APDA sont élus par le Parlement par majorité qualifiée aux deux tiers au premier tour de vote, et par majorité absolue, au second tour, pour un mandat de 4 ans renouvelable. L’APDA peut recruter des collaborateurs. Les places doivent être fournies moyennant une convocation publique et conformément aux principes d’égalité, de mérite et de capacité. Le régime applicable au personnel affecté à l’APDA est celui qui est établi par la réglementation en vigueur en matière de travail.
BELGIQUE
Elle est composée de 16 membres (un président, un vice-président, six membres effectifs, huit membres suppléants), tous désignés pour une période de 6 ans et élus par les membres de la Chambre des représentants. Le président et le vice-président sont les seuls à exercer leur fonction à temps plein, et le mandat de président est réservé à un magistrat. La Commission vie privée doit impérativement compter parmi ses membres un juriste, un informaticien et deux personnes pouvant justifier d’une expérience professionnelle dans le domaine de la gestion de données à caractère personnel. Elle est assistée par un secrétariat de 50 collaborateurs. Le cadre, le statut et le mode de recrutement de ce secrétariat sont déterminés par la Chambre de représentants sur proposition de la Commission. La liberté de recrutement des collaborateurs n’est donc pas entière.
CANADA Le commissaire à la protection de la vie privée est nommé par le gouverneur en conseil, par commission sous le grand sceau, après consultation du chef de chacun des partis reconnus au Sénat et à la Chambre des communes, suivie d’une approbation par résolution du Sénat et de la Chambre des communes. Le commissaire est nommé pour un mandat renouvelable d’une durée de sept ans. Daniel Therrien a été nommé commissaire à la protection de la vie privée du Canada à compter du 5 juin 2014.
CÔTE D’IVOIRE
Le Conseil de régulation est composé de sept membres, dont un président, nommés par décret pris en Conseil des Ministres, sur proposition du Ministre en charge des TIC pour un mandat de six ans non renouvelable. Les membres du Conseil de régulation sont choisis, en raison de leur probité, de leurs qualifications et compétences avérées dans les domaines des Technologies de l’Information et de la Communication, suite à une procédure transparente conduite sous la responsabilité du Ministre en charge des Télécommunications/TIC. L'ARTCI peut recruter des agents contractuels conformément au Code du travail. Elle peut employer des fonctionnaires et agents de l’Etat en position de détachement. Les membres du Conseil de régulation prêtent serment devant le Président de la Cour d’Appel, à l’exception des Magistrats.
FRANCE
*La CNIL est composée d’un Collège de 17 « commissaires ». 12 de ces 17 membres sont élus ou désignés par les assemblées ou les juridictions auxquelles ils appartiennent : - 4 parlementaires (2 députés, 2 sénateurs) - 2 membres du Conseil économique, social et environnemental - 6 représentants des hautes juridictions (2 conseillers d’État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes) 5 personnalités qualifiées désignées par le Président de l’Assemblée nationale (1 personnalité), le Président du Sénat (1 personnalité), en Conseil des Ministres (3 personnalités). *Le mandat des commissaires est de 5 ans ou, pour les parlementaires, d’une durée égale à leur mandat électif. *La CNIL élit son Président parmi ses membres ; elle ne reçoit d’instruction d’aucune autorité. *Les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à son action.
50
*Le Président de la CNIL recrute librement ses collaborateurs. *La CNIL comprend, outre ce collège de commissaires, environ 190 agents, répartis dans 5 directions et placés sous l’autorité d’un Secrétaire général.
GABON
La Commission est composée de quatorze (14) membres, à raison de neuf permanents et quatre non permanents. Mode de désignation : Les Commissaires Permanents sont désignés ainsi qu’il suit : - trois (3) personnalités désignées par le Président de la République, dont le Président de la Commission ; - un (1) magistrat Membre du Conseil d’Etat désigné sur proposition du Président du Conseil d’Etat ; - un (1) magistrat de la Cour de cassation désigné sur proposition du Président de la Cour de cassation ; - un (1) avocat d’signé par l’ordre des avocats ; - un (1) médecin désigné par l’ordre des médecins ; - un (1) représentant des organisations de défense des droits de l’homme désigné par ses pairs ; - un (1) expert en technologie de l’information et de la communication désigné par le Ministre en Charge de l’Economie Numérique. S’agissant des Commissaires Non Permanents, ils sont désignés comme suit :
- un (1) député désigné par le Président de l’Assemblée Nationale ;
- un (1) sénateur désigné par le Président du Sénat ;
- un (1) Commissaire du Gouvernement désigné par le Premier Ministre ;
- un (1) représentant du Patronat gabonais désigné par ses pairs. Les Membres de la CNPDCP sont nommés par décret pris en Conseil des Ministres pour un mandat de 5 ans renouvelable une fois. La Commission dispose de la liberté de recruter ses collaborateurs. En effet, l’article 36 de la n°1/2011 stipule à cet égard que : « La Commission dispose d’un personnel pourvu par l’Etat et peut recruter des agents conformément aux dispositions du code du travail ».
MALI
L’Autorité comprend un organe délibérant collégial composée de (15) quinze membres désignés pour un mandat de (7) sept ans non renouvelable, ainsi qu’il suit : – Deux (2) personnalités qualifiées désignées par le Président de la République ; – Deux (2) Députés désignés par l’Assemblée Nationale à raison d’un Député pour la majorité et un Député pour l’opposition – Deux (2) Conseillers Nationaux désignée par le Haut Conseil des Collectivités Territoriales – Une (1) personnalité qualifiée désignée par le Ministre en charge de l’Etat Civil – Une (1) personnalité qualifiée désignée par le Ministre chargé de la Sécurité Intérieure – Une (1) personnalité qualifiée désignée par le Ministre chargé de l’Informatique – Deux (2) Magistrats dont UN (1) de l’Ordre Judiciaire et Un (1) de l’Ordre Administratif, désigné par la Cour Suprême, – Deux (2) Représentants qualifiés désignés par la Commission Nationale des Droits de l’Homme – Une (1) Représentant qualifié désigné par la Coordination des Associations et ONG Féminines ; – Une (1) Représentant qualifié désigné par le Conseil Nationale de la Société Civile
QUEBEC Les membres de la Commission sont nommés sur proposition du premier ministre, par résolution de l’Assemblée nationale approuvée par au moins les deux tiers des députés. Le mandat est de cinq ans avec possibilité de renouvellement (art. 104 et 105 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels). La Commission choisit les membres de son personnel. Ceux-ci font partie de la fonction publique du Québec (art. 111).
ROUMANIE
Le Président de l’ANCTDCP est nommé par le Sénat, pour un mandat de 5 ans, renouvelable une seule fois. Le Règlement d’organisation et de fonctionnement de l’ANCTDCP adopté en 2005, avec les modifications et les complétions ultérieures, prévoit que : o La structure organisationnelle de l’Autorité este avisée par le Bureau Permanent du Sénat; o Au sein de cette structure, le Président de l’ANCTDCP peut organiser des services, des bureaux, des commissions temporaires etc.; o Le Président de l’ANCTDCP nome et recrute le personnel; o Auprès du Président de l’ANCTDCP fonctionne une structure ayant un rôle consultatif - Le Conseil consultatif de l’Autorité. La composition et le fonctionnement du Conseil sont approuvés par le Président.
SENEGAL
La Commission Nationale de Protection des Données Personnelles est composée de onze(11) membres choisis en fonction de Ieurs compétences juridiques et ou techniques. Trois(3) par le Président de la République dont le Président ou la Présidente de la commission. Deux (2) par le Président de la Cour Suprême Un (1) par I ’ Assemblée Nationale Un (1) par l’ordre des avocats Un (1) par les Associations de défense des üroits de l'Homme Le Directeur général de I’ Agence de l’informatique de l’Etat, siége de plein droit. Un (1) représentant du secteur privé
51
Un (1) Commissaire du gouvernement La durée de leur mandat est de quatre(4) ans renouvelable une fois.
SUISSE Le ou la préposé(e) est nommé(e) par le Conseil fédéral et confirmé(e) par le Parlement. Son mandat dure 4 ans et peut être renouvelé.
TUNISIE
L'Instance est composée ainsi : - un président choisi parmi les personnalités compétentes dans le domaine ; - un membre choisi parmi les membres de la Chambre des Députés ; - un membre choisi parmi les membres de la Chambre des Conseillers; - un représentant du Premier ministère ; - deux magistrats de troisième grade ; - deux magistrats du tribunal administratif ; - un représentant du Ministère de l'Intérieur ; - un représentant du Ministère de la Défense Nationale ; - un représentant du Ministère chargé des Technologies de la Communication ; - un chercheur du Ministère chargé de la Recherche Scientifique ; - un médecin du Ministère chargé de la Santé Publique ; - un membre du Comité Supérieur des Droits de l'Homme et des Libertés Fondamentales ; - un membre choisi parmi les experts en matière de technologies de la communication ; Le président et les membres de l'Instance sont désignés, pour trois ans, par décret. A noter que l’Instance peut se faire assister, dans le cadre de ses missions, par les agents assermentés du ministère chargé des technologies de la communication pour effectuer des recherches et des expertises spécifiques, ou par des experts judiciaires, ou par toute personne jugeant utile sa participation.
3. b. 5- Dispose-t-elle d’un budget autonome de fonctionnement suffisant pour l’exercice de ses missions ? Quel est son montant ?
ANDORRE OUI. En ce qui concerne les ressources, l’APDA dispose des assignations annuelles établies dans la loi du budget de l’État. Le budget de l’APDA pour 2016 s’élève à 401.485 €. La Cour des Comptes exerce son rôle de surveillance envers l’APDA.
BELGIQUE Son budget 2014 s’élevait à 7.365.000 euros dont 65% de frais personnels (= 4.8000.000 euros). Les 35% restants (= 2.565.000 euros) du budget englobent, d’une part, la rétribution des membres de la Commission et des Comités sectoriels et d’autre part les moyens de fonctionnement réels (entretien du bâtiment, informatique, documentation,..).
CANADA Le Commissariat à la protection de la vie privée dispose d’un budget pour l’exercice de ses fonctions. Son budget est fixé par le gouvernement du Canada. Pour l’exercice 2016-2017, le budget principal des dépenses du Commissariat à la protection de la vie privée s’élève à 24,5 millions de dollars canadiens.
CÔTE D’IVOIRE
L’ARTCI est dotée de l’autonomie financière dans la gestion de ses activités.
FRANCE Oui, elle dispose d’un budget autonome voté chaque année par le Parlement. Son montant pour 2015 était de 18 298 779 euros.
GABON La commission dispose d’un budget autonome. Celui-ci était de l’ordre de 913.000 euro au titre de l’exercice 2015. Ce niveau de ressources est nettement insuffisant par rapport aux besoins de fonctionnement et à son plan d’action.
MALI L’Autorité dispose d’un budget autonome de 500 millions de Francs CFA insuffisants pour assurer ses missions.
QUEBEC Le budget de la Commission d’accès à l’information est voté par l’Assemblée nationale sur proposition du gouvernement. Pour l’année financière 2015-2016 (se terminant le 31 mars 2016) les crédits budgétaires votés par l’Assemblée sont de 5,9 millions de dollars.
ROUMANIE
Oui, l’Autorité rédige son projet de budget annuel qui est transmis au Ministère des Finances Publiques pour être inclu, à titre distinct, dans le Budget de l’État.
SENEGAL Oui - 200 millions de francs CFA
SUISSE Il dispose d’un budget autonome. Pour l’an 2015 le budget s’est monté à 6 millions de francs suisses.
TUNISIE Elle dispose d’un budget rattaché au ministère chargé des droits de l’homme mais son action reste autonome. Le montant est fixé annuellement dans le cadre de la loi des finances.
3. c- Existe-t-il un contrôle parlementaire des activités de cette autorité de protection des données ? Comment s’exerce-t-il ?
ANDORRE
OUI. Au Parlement, la Commission législative de l’intérieur est la commission chargée du control et le suivi de l’APDA. En conformité avec le Règlement du Parlement, cette commission peut requérir devant elle la présence des membres de l’APDA afin qu’ils informent des questions dont ils traitent, et peut aussi leur demander l’information et la documentation qu’elle considère nécessaire pour mener à terme sa tâche de control et suivi.
BELGIQUE L’article 24§6 de la loi du 8 décembre 1992 (modifié par la loi du 11 décembre 1998) précise bien que « le président [de la Commission vie privée] et les membres ne reçoivent d’instructions de personne. Ils ne peuvent être relevés de leur charge en raison des opinions qu’ils émettent ou des actes qu’ils accomplissent pour remplir leur fonction ». Les activités de la Commission vie privée ne sont donc pas contrôlées par
52
la Chambre des représentants. Cependant, à l’alinéa 4 de ce même article précise que « Les membres de la Commission peuvent être relevés de leur charge par la Chambre des représentants en cas de manquements à leurs devoirs ou d’atteinte à la dignité de leur fonction ». Il n’y a donc pas de contrôle du contenu du travail et des décisions des membres de la Commission vie privée, mais un simple contrôle du respect de devoirs liés à la fonction. Chaque année, la Commission vie privée rédige un rapport d’activités destiné à la fois aux parlementaires et à la fois au public. Il le remet à la Chambre des représentants et le présente en conférence de presse.
CANADA
Tel que mentionné précédemment, le commissaire rend des comptes directement au Parlement canadien plutôt qu’au gouvernement ou à un ministre du gouvernement fédéral. Ainsi, le commissaire à la protection de la vie privée du Canada présente au Parlement chaque année des rapports annuels sur l’application de la LPRP et de la LPRPDE. De plus, en vertu de la LPRP, il peut présenter des rapports spéciaux au Parlement à toute époque de l’année. De même, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes a le mandat d’étudier les questions relatives au Commissariat à la protection de la vie privée du Canada. Précisément, ce comité a pour mandat l'étude de l'efficacité, de l'administration et du fonctionnement du Commissaire à la protection de la vie privée ainsi que de ses plans opérationnels et de dépenses, et la présentation de rapports à ce sujet
CÔTE D’IVOIRE
Comme toutes les sociétés d’Etat, l’ARTCI peut faire l’objet d’un contrôle parlementaire dans le cadre de la mise en œuvre de la fonction de contrôle de l’action gouvernementale. Ce contrôle peut s’exercer sous forme de mission d’information parlementaire ou sous forme d’enquête en cas de malversation ou de mauvaise gestion constatée.
FRANCE NON
GABON La Commission n’est pas astreinte au contrôle parlementaire de ses activités
MALI Pour le moment, cette Autorité n’a pas fait l’objet de contrôle parlementaire.
QUEBEC
La Commission d’accès à l’information transmet chaque année à la ministre responsable de l’Accès à l’information et de la Réforme des institutions démocratiques un rapport sur ses activités (art. 118). Les articles 119 et 119.1 portent sur le dépôt et l’étude de ce rapport par une commission de l’Assemblée nationale : 119. Le rapport d'activités est déposé devant l'Assemblée nationale dans les trente jours de sa réception, si l'Assemblée est en session ou, si elle ne siège pas, dans les trente jours de l'ouverture de la session suivante ou de la reprise de ses travaux. 119.1. La commission de l'Assemblée nationale désigne, dans les meilleurs délais, la commission qui fera l'étude du rapport d'activités. La commission parlementaire désignée doit faire l'étude de ce rapport dans les 60 jours de son dépôt à l'Assemblée nationale À noter que la Commission d’accès à l’information transmet également au gouvernement tous les cinq ans un rapport sur l’application de la Loi sur la protection des renseignements personnels dans le secteur privé. Ce document fait l’objet d’un dépôt à l’Assemblée nationale et une commission parlementaire doit en faire l’étude dans l’année qui suit le dépôt (art. 88 et 89 de la Loi sur la protection des renseignements personnels dans le secteur privé).
ROUMANIE
Le Président de l’ANCTDCP présent un rapport annuel d’activité en séance plénière du Sénat.
SENEGAL Non
SUISSE Le PFPDT doit fournir chaque année un rapport d’activités au Conseil Fédéral et au Parlement. Comme toute autorité publique, le PFPDT peut être l’objet de contrôle du Parlement, notamment par l’intermédiaire des commissions de gestion ou des finances. Lien vers les rapports d’activités : http://www.edoeb.admin.ch/dokumentation/00153/index.html?lang=fr
TUNISIE Deux membres de l’instance sont des députes. L'Assemblée des Représentants du Peuple exerce sur l’instance un contrôle à l’occasion du vote de son budget. Une assemblée Plénière de l'Assemblée des Représentants du Peuple peut être consacrée au dialogue avec l’Instance, de même le président et les membres de l'instance peuvent être convoqués par les commissions parlementaires à participer à des auditions.
3.d- Cette autorité est-elle membre de l’Association francophone des autorités de protection des données personnelles (AFAPDP) ?
ANDORRE OUI. L’APDA est membre fondateur de l’AFAPDP. L’APDA est membre de l’AFAPDP depuis 2007, année de création de cette association.
BELGIQUE Oui
CANADA Oui, le Commissariat à la protection de la vie privée du Canada est membre adhérent de l’Association francophone des autorités de protection des données personnelles.
CÔTE D’IVOIRE
L’ARTCI est membre de l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP)
FRANCE Oui
GABON La commission est membre de l’Association francophone des autorités de protection des données personnelles (AFAPDP).
MALI L’Autorité a formulé une demande d’adhésion à l’AFAPDP.
QUEBEC Oui
ROUMANI Oui, l’ANCTDCP est membre de l’AFAPDP.
53
E De plus, au Sommet, tenu en octobre 2006 à Bucarest, en Roumanie, les chefs d’Etat et de gouvernement ont lancé un appel en faveur de l’élaboration d’un instrument international garantissant le droit des personnes à la protection des données à caractère personnel, tout en tenant compte des objectifs des pays francophones en matière de lutte contre la corruption et le crime transnational organisé.
SENEGAL Oui
SUISSE Oui.
TUNISIE Oui, la Tunisie est membre adhérent de l’AFAPDP
Section 3 1. Votre pays a-t-il prévu de se doter d’une loi en matière de protection des données personnelles ?
VALEE D’AOSTE
En Italie, la normative en vigueur en matière de protection des données personnelles est le D.L. n° 196 du 30 juin 2003. Cette loi assure que le traitement des données personnelles est respectueux des droits et des libertés fondamentales de l'homme et est garantie de sa dignité, avec une référence particulière à la vie privée, à l'identité personnelle et au droit à la protection des données personnelles.
2. Quelle institution est chargée d’initier cette loi et dans quels délais est programmée son adoption
VALEE D’AOSTE
En Italie, la normative en vigueur en matière de protection des données personnelles est le D.L. n° 196 du 30 juin 2003, qui fait référence à la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des données personnelles, et à la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, relative au traitement des données. La loi a institué une Autorité nationale de Garantie pour la protection des données personnelles, qui est déjà installée.
