Cristina Prados, PDG de la société CP Compliance i Privacitat Legal, se consacre depuis des années à un sujet essentiel dans la société de l'information dans laquelle nous vivons, la protection des données. Il propose aux entreprises des services d'adaptation en la matière, des formations pour les entreprises dans ce domaine, le service de délégué à la protection des données, entre autres. Aujourd’hui, cela nous rapproche de ce monde dont nous avons tous entendu parler, mais sur lequel de nombreux doutes subsistent également.
Bonjour Cristina, tout d'abord, et pour nous situer, qu'est-ce que la protection des données ?
La protection des données est encadrée par l'article 14 de la Constitution de la Principauté d'Andorre, qui garantit le droit à la vie privée, à l'honneur et à l'image. C’est le résultat de l’évolution technologique et de la nécessité de s’adapter aux éventuels contextes et atteintes à ces droits fondamentaux. La réglementation vise à protéger les données personnelles de toutes les personnes physiques, quelle que soit leur nationalité et quel que soit leur lieu de résidence, préservant ainsi leur vie privée.
Mais que sont exactement les données personnelles ?
Les données personnelles sont toute information permettant d’identifier ou de rendre identifiable une personne physique. Ces données peuvent aller des numéros de téléphone, adresses, emails, aux plaques d'immatriculation des véhicules, aux images d'une caméra de vidéosurveillance, aux CV, aux données biométriques comme la reconnaissance faciale ou les empreintes digitales, aux affiliations religieuses ou politiques...
Quels sont aujourd’hui les principaux risques liés à la protection des données dans les entreprises ?
Les entreprises disposent de nombreuses informations sur les clients, les clients potentiels, leurs propres travailleurs, les candidats potentiels et les fournisseurs, entre autres. Ne pas disposer de bonnes procédures de collecte, de traitement, de stockage, de transfert, de suppression peut entraîner des sanctions, mais en même temps une perte de confiance des clients et des dommages irréparables à la réputation de l'entreprise. Garantir ces procédures, c'est réduire les risques de violations de la sécurité, de fuites de données, d'éventuelles plaintes auprès de l'autorité en la matière par les parties intéressées...
Où est la réglementation en Andorre ?
Le 28 octobre 2021, Andorre a approuvé la loi qualifiée 29/2021 sur la protection des données. Bien que nous disposions déjà d'un règlement de 2003, la Principauté d'Andorre a signé en 2019 la Convention 108 du Conseil de l'Europe avec laquelle elle s'engage à respecter et à adapter les lois nationales aux principes et normes établis par cette convention et le règlement européen. Ainsi, les réglementations nationales ont été mises à jour pour se conformer aux obligations découlant de cette Convention et du Règlement (UE) 2016/679 du Parlement européen du 27 avril 2016.
Toutes les entreprises doivent-elles s’adapter à la réglementation ou est-ce exclusif dans certains domaines ?
La loi s'applique à tous les responsables et/ou responsables, tant publics que privés, qui sont soit domiciliés, soit incorporés dans le pays, ou utilisent des moyens de traitement situés dans le pays.
Par responsable, nous entendons cette personne physique, morale ou autorité qui détermine les finalités et les moyens du traitement des données personnelles et qui en assure la bonne conformité, comme, par exemple, mon entreprise lorsqu'elle collecte les données de mes clients, et quant aux responsables du traitement, sont ceux qui traitent les données personnelles pour le compte du responsable du traitement, comme, par exemple, un cabinet comptable qui traite les données de mes clients pour me fournir des services comptables et leur délivrer des reçus.
Il convient de souligner qu'il existe des exceptions et qu'il ne sera pas jugé nécessaire d'appliquer la réglementation dans les cas où sont effectués des traitements personnels ou domestiques, pour lesquels il n'y a pas de lien professionnel, ni dans les cas de données de personnes décédées. ou par les autorités compétentes qui exercent des fonctions de prévention, d'enquête, de poursuite des infractions pénales...
Comment travailler depuis votre entreprise face à une entreprise qui souhaite adapter ses procédures à la Conformité Réglementaire ?
L'adaptation à la réglementation est l'un des services que nous proposons au CP Compliance and Legal Privacy, dans lequel nous analysons tous les types de traitements de données effectués par les entreprises qui font appel à nous. Nous effectuons une analyse des risques associés à ces données, nous préparons les enregistrements nécessaires pour suivre le cycle des données personnelles, nous effectuons, si nécessaire, l'analyse d'impact et nous préparons ce que nous appelons la phase des procédures, car dans le développement des fonctions propres de l'entreprise, certains documents et étapes à suivre sont incorporés pour assurer le traitement correct des données tant dans la collecte, la conservation, l'exercice des droits des parties intéressées, les éventuelles fuites de sécurité... Nous proposons également le service de Protection des Données. et la formation des travailleurs.
Vous avez évoqué le service de délégué à la protection des données. Quel est ce chiffre ? Est-ce obligatoire ?
Le délégué à la protection des données est un chiffre qui dans certains cas est obligatoire et dans d'autres recommandé. Le délégué à la protection des données est un professionnel possédant des connaissances spécialisées en matière de droit et de protection des données. Il peut faire partie du personnel ou, comme ce serait notre cas, être fourni en tant que service externe. La fonction serait de conseiller et d'informer la personne responsable et chargée des obligations, de superviser les politiques établies, de former et de sensibiliser le personnel, de gérer l'exercice des droits des intéressés, de coopérer avec l'autorité de contrôle, en agissant comme un point de contact...
Vous avez mentionné que vous formez votre personnel. Quel rôle joue la formation du personnel en la matière au sein d’une organisation ?
La formation du personnel est essentielle, car en réalité ce sont eux qui collectent, traitent, accèdent aux données et ceux qui contactent directement les parties intéressées, qu'il s'agisse de clients, de candidats, de fournisseurs, d'utilisateurs du site Internet... Qu'ils comprennent les L'importance de la protection des données est cruciale pour qu'ils protègent les informations dont ils disposent, prennent les mesures de sécurité appropriées, respectent les protocoles établis, répondent à d'éventuels incidents... Par exemple, cela ne sert à rien de préparer des clauses d'information pour les clients, si quand. le client vient signer un contrat de prestation de services, la personne qui rédige et lui fait signer le contrat ne sait pas qu'elle doit également ajouter et faire signer cette clause d'information. Un autre exemple serait que s’il y a une violation de la sécurité et que nous ne disposons pas de personnel qualifié, elle peut être ignorée et ne pas prendre les mesures nécessaires pour la modifier ou modifier la communication concernée.
Si une entreprise ne respecte pas la réglementation, peut-il y avoir des sanctions ? Qui gère ces sanctions ?
Oui, des sanctions peuvent être imposées par l'autorité de contrôle, qui en Andorre est l'Agence de protection des données. Une phase d'enquête serait ouverte au cours de laquelle les inspecteurs de l'Agence procéderaient à l'analyse du cas et, enfin, la direction de l'Agence prononcerait la sanction correspondante. Parmi les pouvoirs correctifs de l'Agence, on trouve des avertissements, des réprimandes, des limitations ou interdictions temporaires ou définitives du traitement des données, des amendes administratives, entre autres. Les sanctions financières peuvent être comprises entre 500 et 100 000 euros selon leur gravité.
L’Agence est-elle actuellement opérationnelle ?
Oui, l'Agence a été créée en 2005 et est un organisme indépendant doté de la pleine capacité d'action. Les dernières données dont nous disposons datent de 2022, où un total de 3 864 requêtes ont été effectuées et 18 dossiers administratifs ont été traités.
Y a-t-il quelque chose de nouveau à souligner du côté de l’Agence ?
Actuellement, le fait le plus marquant de ces derniers jours est l'ouverture d'un processus participatif public avec lequel sera créé un guide pour la protection des données dans le secteur immobilier. Un secteur qui suscite quelques doutes quant à la limitation des données personnelles demandées.