Retour sur la protection des données en Amérique latine et en Espagne

Nous sommes fiers d'annoncer une nouvelle version mise à jour de l'état des lois sur la confidentialité des communications dans huit pays d'Amérique latine et en Espagne. Depuis plus d'un an, l'EFF travaille avec des organisations partenaires pour développer des questions et réponses détaillées (FAQ) sur les lois sur la confidentialité des communications. Notre travail s'appuie sur des recherches antérieures et en cours sur de tels développements en Argentine , au Brésil , au Chili , en Colombie , au Mexique , au Paraguay , au Panama , au Pérou et en Espagne . Nous visons à comprendre les défis juridiques de chaque pays, afin de nous aider à repérer les tendances, à identifier les meilleures et les pires normes et à fournir des recommandations pour l'avenir. Cet article sur les développements de la protection des données dans la région fait partie d'une série d'articles sur l'état actuel des lois sur la confidentialité des communications en Amérique latine et en Espagne.

En repensant aux dix dernières années dans le domaine de la protection des données, nous avons constaté des progrès juridiques considérables dans l'octroi du contrôle des utilisateurs sur leur vie personnelle. Depuis 2010, soixante-deux nouveaux pays ont promulgué des lois sur la protection des données , soit un total de 142 pays dotés de lois sur la protection des données dans le monde. En Amérique latine, le Chili a été le premier pays à adopter une telle loi en 1999, suivi de l' Argentine en 2000. Plusieurs pays ont emboîté le pas: Uruguay (2008), Mexique (2010), Pérou (2011), Colombie (2012), Brésil (2018), Barbade (2019) et Panama (2019). Bien qu'il existe encore des approches différentes en matière de confidentialité, les lois sur la protection des données ne sont plus un phénomène purement européen.

Pourtant, les développements contemporains de la législation européenne sur la protection des données continuent d'avoir une influence énorme dans la région, en particulier le règlement général sur la protection des données (RGPD) de l'UE en 2018 . Depuis 2018, plusieurs pays, dont la Barbade et le Panama, ont ouvert la voie à l'adoption de lois inspirées du RGPD dans la région, promettant le début d'une nouvelle génération de législation sur la protection des données. En fait, les protections de la vie privée de la nouvelle loi brésilienne inspirée du RGPD sont entrées en vigueur la semaine dernière, le 18 septembre, après que le Sénat a repoussé une ordonnance de retard du président Jair Bolsonaro.

Mais en ce qui concerne la protection des données dans le contexte de l'application de la loi, peu de pays ont adopté les dernières mesures de l'Union européenne. La directive européenne sur la police , une loi sur le traitement des données personnelles pour les forces de police, n'est pas encore devenue un phénomène latino-américain. Le Mexique est le seul pays doté d'une réglementation spécifique sur la protection des données pour le secteur public. Ce faisant, les pays des Amériques ratent une occasion cruciale de renforcer leurs garanties de confidentialité des communications avec des droits et des principes communs à la boîte à outils mondiale de protection des données.

Nouvelles lois sur la protection des données inspirées du RGPD
Le Brésil , la Barbade et le Panama ont été les premiers pays de la région à adopter des lois sur la protection des données inspirées du RGPD. La loi panaméenne, approuvée en 2019, entrera en vigueur en mars 2021.

La loi brésilienne a fait face à une bataille difficile. Les dispositions créant l'autorité de contrôle sont entrées en vigueur en décembre 2018, mais il a fallu un an et demi au gouvernement pour introduire un décret mettant en œuvre sa structure . Le décret, cependant, n'aura force de loi que lorsque le Président du Conseil d'Administration sera officiellement nommé et approuvé par le Sénat. Aucun rendez-vous n'a été pris au moment de la publication de ce poste. Pour le reste de la loi, février 2020 était la date limite initiale pour entrer en vigueur. Cela a ensuite été changé en août 2020. La loi a ensuite été reportée à mai 2021 par un acte exécutif publié par le président Bolsonaro. Pourtant, dans une tournure positive surprenante, le Sénat brésilien a mis fin au report du président Bolsonaro en août. Cela signifie que la loi est désormais en vigueur, à l'exception de la section des sanctions qui a été à nouveau reportée, jusqu'en août 2021.

Définition des données personnelles
Tout comme le RGPD, les lois du Brésil et du Panama incluent une définition complète des données personnelles. Il comprend toute information concernant une personne identifiée ou identifiable. La définition des données personnelles dans la loi de la Barbade comporte certaines limites. Il ne protège que les données relatives à une personne qui peut être identifiée «à partir de ces données; ou à partir de ces données ainsi que d'autres informations qui sont en la possession du fournisseur ou qui sont susceptibles d'entrer en possession du fournisseur. » Les données anonymisées au Brésil, au Panama et à la Barbade n'entrent pas dans le champ d'application de la loi. Il existe également des variations dans la manière dont ces pays définissent les données anonymisées.

Le Panama la définit comme des données qui ne peuvent être réidentifiées par des moyens raisonnables. Cependant, la loi ne fixe pas de paramètres explicites pour guider cette évaluation. La loi brésilienne indique clairement que les données anonymisées seront considérées comme des données personnelles si le processus d'anonymisation est inversé en utilisant exclusivement les propres moyens du fournisseur, ou si elle peut être annulée avec des efforts raisonnables. La loi brésilienne définit des facteurs objectifs pour déterminer ce qui est raisonnable, comme le coût et le temps nécessaires pour inverser le processus d'anonymisation, en fonction des technologies disponibles, et l'utilisation exclusive des propres moyens du fournisseur. Ces paramètres affectent les grandes entreprises technologiques dotées d' une puissance de calcul étendue et de vastes collections de données, qui devront déterminer si leurs propres ressources pourraient être utilisées pour réidentifier les données anonymisées. Cette disposition ne doit pas être interprétée d'une manière qui ignore les scénarios dans lesquels le partage ou la liaison de données anonymisées avec d'autres ensembles de données, ou des informations accessibles au public, conduit à la ré-identification des données.

Droit à la portabilité
Les trois pays accordent aux utilisateurs le droit à la portabilité – un droit de prendre leurs données auprès d'un fournisseur de services et de les transférer ailleurs. La portabilité s'ajoute aux droits dits ARCO (accès, rectification, annulation et opposition) – un ensemble de droits des utilisateurs qui leur permettent d'exercer un contrôle sur leurs propres données personnelles.

Les responsables de l'application des lois sur la portabilité devront prendre des décisions prudentes sur ce qui se passe lorsqu'une personne souhaite transférer des données qui la concernent à la fois lui et une autre personne, telles que son graphique social de contacts et ses informations de contact telles que les numéros de téléphone. Cela implique la vie privée et les autres droits de plus d'une personne. De plus, si la portabilité aide les utilisateurs à quitter une plate-forme, elle ne les aide pas à communiquer avec d'autres utilisateurs qui utilisent encore la précédente. Les effets de réseau peuvent empêcher les concurrents parvenus de décoller. C'est pourquoi nous avons également besoin de l' interopérabilité pour permettre aux utilisateurs d'interagir les uns avec les autres au-delà des limites des grandes plates-formes.

Là encore, différents pays ont des approches différentes. La loi brésilienne tente de résoudre les problèmes de données multi-personnes et d'interopérabilité en ne limitant pas les «données portées» aux données que l'utilisateur a données à un fournisseur. Elle ne précise pas non plus le format à adopter. Au lieu de cela, la protection des données l'autorité peut définir les normes, entre autres, en matière d'interopérabilité, de sécurité, de délais de conservation et de transparence. Au Panama, la portabilité est un droit et un principe. Il s'agit de l'un des principes généraux de protection des données qui guident l'interprétation et la mise en œuvre de leur législation générale . En tant que droit, il ressemble au modèle GDPR. L'utilisateur a le droit de recevoir une copie de ses données personnelles dans un format structuré, couramment utilisé et lisible par machine. Le droit ne s'applique que lorsque l'utilisateur a fourni ses données directement à le fournisseur de services et a donné son consentement ou lorsque les données sont nécessaires à l'exécution d'un contrat. La loi panaméenne stipule expressément que la portabilité est «un droit irrévocable» qui peut être demandé à tout moment NT.

Les droits de portabilité à la Barbade sont similaires à ceux du Panama. Mais, comme le RGPD, il existe certaines limites. Les utilisateurs ne peuvent exercer leurs droits de transférer directement leurs données d'un fournisseur à un autre que lorsque cela est techniquement possible. Comme le Panama, les utilisateurs peuvent transférer les données qu'ils ont eux-mêmes fournies aux fournisseurs, et non les données les concernant que d'autres utilisateurs ont partagées.

Prise de décision automatisée concernant les individus
Les systèmes de prise de décision automatisés prennent des décisions continues sur nos vies pour aider ou remplacer la prise de décision humaine. Il existe donc un droit émergent inspiré du RGPD à ne pas être soumis à des processus de prise de décision uniquement automatisés qui peuvent produire des effets juridiques ou similaires importants sur l'individu. Ce nouveau droit s'appliquerait, par exemple, aux systèmes de prise de décision automatisés qui utilisent des «profils» pour prédire des aspects de notre personnalité, comportement, intérêts, lieux, mouvements et habitudes. Avec ce nouveau droit, l'utilisateur peut contester les décisions prises à son sujet, et / ou obtenir une explication sur la logique de la décision. Ici aussi, il existe quelques variations selon les pays.

La loi brésilienne établit que l'utilisateur a le droit de revoir les décisions les concernant qui sont basées uniquement sur le traitement automatisé des données personnelles. Il s'agit notamment de décisions visant à définir des profils personnels, professionnels, de consommation ou de crédit, ou d'autres traits de la personnalité d'une personne. Malheureusement, le président Bolsonaro a opposé son veto à une disposition exigeant un examen humain dans cette prise de décision automatisée. Du côté positif, l'utilisateur a le droit de demander au fournisseur de divulguer des informations sur les critères et les procédures adoptés pour la prise de décision automatisée, bien qu'il existe malheureusement une exception pour les secrets commerciaux et industriels.

À la Barbade, l'utilisateur a le droit de connaître, à la demande du fournisseur, l'existence de décisions fondées sur le traitement automatisé de données personnelles, y compris le profilage. Comme dans d'autres pays, cela inclut l'accès à des informations sur la logique impliquée et les conséquences envisagées sur eux. Les utilisateurs de la Barbade ont également le droit de ne pas être soumis à des processus de prise de décision automatisés sans implication humaine, et à des décisions automatisées qui produiront des effets juridiques ou similaires importants sur l'individu, y compris le profilage. Il existe des exceptions lorsque des décisions automatisées sont: nécessaires pour conclure ou exécuter un contrat entre l'utilisateur et le fournisseur; autorisé par la loi; ou sur la base du consentement de l'utilisateur. La Barbade a défini le consentement de manière similaire à la définition du RGPD. Cela signifie qu'il doit y avoir une indication librement donnée, spécifique, informée et sans ambiguïté des souhaits de l'utilisateur concernant le traitement de ses données personnelles. L'utilisateur a la possibilité de changer d'avis .

La loi panaméenne accorde également aux utilisateurs le droit de ne pas être soumis à une décision basée uniquement sur le traitement automatisé de leurs données personnelles, sans implication humaine, mais ce droit ne s'applique que lorsque le processus produit des effets juridiques négatifs concernant l'utilisateur ou affecte de manière préjudiciable les droits des utilisateurs. . Comme à la Barbade, le Panama autorise les décisions automatisées nécessaires à la conclusion ou à l'exécution d'un contrat, sur la base du consentement de l'utilisateur, ou autorisées par la loi. Mais le Panama définit le «consentement» d'une manière moins protectrice pour l'utilisateur: lorsqu'une personne fournit une «manifestation» de sa volonté.

Base juridique du traitement des données personnelles
Il est important que les lois sur la confidentialité des données exigent des prestataires de services qu'ils disposent d'une base légale valide pour traiter les données personnelles et de documenter cette base avant de commencer le traitement . Sinon, le traitement sera illégal. Les régimes de protection des données, y compris tous les principes et droits des utilisateurs, doivent s'appliquer indépendamment du fait que le consentement soit requis ou non.

La nouvelle loi panaméenne autorise trois bases juridiques autres que le consentement: se conformer à une obligation contractuelle, se conformer à une obligation légale ou comme autorisé par une loi particulière. Le Brésil et la Barbade ont établi dix bases juridiques pour le traitement des données personnelles – quatre de plus que le RGPD, le consentement n'étant que l'un d'entre eux. La législation brésilienne et barbadienne cherche à équilibrer cette approche en fournissant aux utilisateurs des informations claires et concises sur ce que les fournisseurs font de leurs données personnelles. Il accorde également aux utilisateurs le droit de s'opposer au traitement de leurs données, ce qui permet aux utilisateurs d'arrêter ou d'empêcher le traitement.

Protection des données dans le contexte de l'application de la loi
L'Amérique latine est en retard sur un régime complet de protection des données qui s'applique non seulement aux entreprises, mais également aux autorités publiques lors du traitement de données à caractère personnel à des fins répressives. L' UE, en revanche, a adopté non seulement le RGPD, mais également la directive de l'UE sur la police, une loi qui réglemente le traitement des données à caractère personnel pour les forces de police . La plupart des lois sur la protection des données en Amérique du Nord exemptent les activités d'application de la loi et de renseignement de l'application de la loi. Cependant, en Colombie , certaines règles de protection des données s'appliquent au secteur public. Le GDPL de ce pays s'applique au secteur public, avec des exceptions pour la sécurité nationale, la défense, les réglementations anti-blanchiment d'argent et le renseignement. La Cour constitutionnelle a déclaré que ces exceptions ne sont pas des exclusions absolues de l'application de la loi, mais une exemption à quelques dispositions seulement. Une loi statutaire complémentaire devrait les réglementer, sous réserve du principe de proportionnalité.

L'Espagne n'a pas encore mis en œuvre la directive européenne sur la police. En conséquence, le traitement des données personnelles pour les activités d'application de la loi reste soumis aux normes de l'ancienne loi sur la protection des données du pays . Les lois de l' Argentine et du Chili s'appliquent aux organismes chargés de l'application de la loi, et le Mexique a une réglementation spécifique sur la protection des données pour le secteur public. Mais le Pérou et le Panama excluent les forces de l'ordre du champ d'application de leurs lois sur la protection des données. La loi brésilienne crée une exception au traitement des données personnelles uniquement pour la sécurité publique, la sécurité nationale et les enquêtes pénales. Néanmoins, il stipule qu'une législation spécifique doit être approuvée pour réglementer ces activités.

Recommandations et perspectives
La confidentialité des communications a beaucoup à gagner avec l'intersection de ses garanties d'inviolabilité traditionnelles et de la boîte à outils de protection des données. Cette intersection contribue à enraciner les normes internationales relatives aux droits de l'homme applicables à l'accès des forces de l'ordre aux données de communication. Les principes de minimisation des données et de limitation des finalités dans le monde de la protection des données sont en corrélation avec les principes de nécessité, d'adéquation et de proportionnalité du droit international des droits de l'homme. Ils sont nécessaires pour freiner la rétention massive de données ou réduire l'accès du gouvernement aux données. L'idée que tout traitement de données à caractère personnel nécessite une base légitime confirme les principes de base de la légalité et vise légitime à imposer des limitations aux droits fondamentaux. L'accès des services répressifs aux données de communication doit être clairement et précisément prescrit par la loi. Aucune autre base légitime que le respect d'une obligation légale n'est acceptable dans ce contexte.

La transparence de la protection des données et les garanties d'information renforcent le droit d'un utilisateur à une notification lorsque les autorités gouvernementales ont demandé ses données . Les tribunaux européens ont affirmé que ce droit découle des garanties de confidentialité et de protection des données. Dans les affaires Tele2 Sverige AB et Watson , la Cour de justice de l'UE (CJUE) a estimé que "les autorités nationales auxquelles l'accès aux données conservées a été accordé doivent informer les personnes concernées … dès que cette notification n'est plus susceptible de compromettent les enquêtes menées par ces autorités. " Auparavant, dans Szabó et Vissy c.Hongrie , la Cour européenne des droits de l'homme (CEDH) avait déclaré que la notification aux utilisateurs des mesures de surveillance était également inextricablement liée au droit à un recours effectif contre l'abus des pouvoirs de surveillance.

La transparence de la protection des données et les garanties d'information peuvent également jouer un rôle clé en favorisant une meilleure compréhension des pratiques des entreprises et des gouvernements lorsqu'il s'agit de demander et de transmettre les données de communication des utilisateurs. En collaboration avec l'EFF, de nombreuses ONG latino-américaines ont poussé les fournisseurs d'accès Internet à publier leurs directives d'application de la loi et à regrouper les informations sur les demandes de données gouvernementales. Nous avons fait des progrès au fil des ans, mais il reste encore beaucoup à faire. En ce qui concerne la surveillance publique, les autorités chargées de la protection des données devraient avoir le mandat légal de superviser le traitement des données à caractère personnel par les entités publiques, y compris les services répressifs. Ils devraient être des autorités impartiales et indépendantes, connaissant bien la protection des données et la technologie, et disposer de ressources adéquates pour exercer les fonctions qui leur sont assignées.

Il existe déjà de nombreuses garanties essentielles dans la région de Latam. La plupart des constitutions des pays ont explicitement reconnu la vie privée comme un droit fondamental et la plupart ont adopté des lois sur la protection des données. Chaque constitution reconnaît un droit général à la vie privée ou à l'intimité ou un ensemble de droits multiples et spécifiques: un droit à l'inviolabilité des communications; un droit explicite à la protection des données (Chili, Mexique, Espagne); ou «habeas data» (Argentine, Pérou, Brésil) en tant que droit ou recours légal. (En général, les données d'habeas protègent le droit de toute personne de savoir quelles données sont détenues à son sujet.) Et, plus récemment, une décision historique de la Cour suprême du Brésil a reconnu la protection des données comme un droit fondamental tiré de la Constitution du pays.

Tout au long de notre travail dans la région, nos FAQ aident à repérer les failles, à signaler les normes ou à mettre en évidence les garanties essentielles (ou leur absence). Il est clair que la montée des lois sur la protection des données a contribué à sécuriser la confidentialité des utilisateurs dans toute la région: mais il reste encore beaucoup à faire. Des règles strictes de protection des données qui s'appliquent aux activités d'application de la loi amélioreraient la protection de la confidentialité des communications dans la région. Une plus grande transparence est nécessaire de toute urgence, à la fois dans la manière dont les réglementations seront mises en œuvre et dans le travail supplémentaire entrepris par les entreprises privées et le secteur public pour protéger de manière proactive les données des utilisateurs.

Nous invitons tout le monde à lire ces rapports et à réfléchir sur le travail que nous devrions défendre et défendre dans les jours à venir, et ce qui reste à faire.