Par Ketevan Kukava-ISOC Géorgie*
Cet article donne un bref aperçu du rapport « Data Protection Impact Assessment, European Standards and Recommendations for Georgia » (Évaluation de l’impact de la protection des données, normes européennes et recommandations pour la Géorgie), financé par l’Internet Society Foundation. Les opinions et suggestions présentées dans cet article appartiennent à l’auteur et peuvent ne pas représenter les perspectives de l’Internet Society Foundation.
En raison du développement technologique rapide, l’ampleur de la collecte et du partage des données personnelles a considérablement augmenté, ce qui a fait naître de nouveaux risques et de nouvelles menaces pour les droits humains. Malgré les avantages considérables qu’elle apporte, l’ère numérique crée certains défis en termes de confidentialité et de protection des données, car une grande quantité d’informations personnelles est recueillie, qui est traitée de manière de plus en plus complexe.
L’augmentation des défis a nécessité une évolution du droit européen de la protection des données, car la législation devait répondre de manière adéquate aux menaces existant à l’ère numérique et devait créer des garanties plus solides pour la protection des droits humains. L’adoption du Règlement général sur la protection des données (RGPD) et la modernisation de la Convention 108 du CdE ont garanti des normes ultérieures pour la protection des droits des personnes concernées, une plus grande responsabilisation des responsables du traitement des données et une supervision efficace de la protection des données.
Le droit européen de la protection des données vise à créer un cadre juridique uniforme et cohérent et à garantir la circulation libre et sans entrave des données à caractère personnel. Compte tenu de l’ampleur sans précédent du traitement des données, tant dans le secteur public que dans le secteur privé, la mise en place de garanties appropriées pour la protection des droits et des intérêts des personnes concernées revêt une importance cruciale.
L’analyse d’impact sur la protection des données (AIPD) est l’une des mesures importantes prévues par le droit européen, qui permet aux responsables du traitement de prévenir les violations des droits humains en identifiant les risques à l’avance. Cette évaluation est obligatoire lorsqu’il existe un risque élevé pour les droits et libertés des personnes physiques.
L’AIPD est un outil important visant à responsabiliser les responsables du traitement et à protéger les droits des personnes concernées. Il peut être considéré comme une forme d’autorégulation contrôlée[1], obligeant les entreprises à identifier les problèmes et à trouver des solutions, avec un contrôle interne et quelques contributions externes, accompagné d’une supervision réglementaire minimale[2].
L’augmentation des défis a nécessité une évolution de la loi européenne sur la protection des données, car la législation devait répondre de manière adéquate aux menaces existant à l’ère numérique et devait créer des garanties plus solides pour la protection des droits humains.
Selon le RGPD, une analyse d’impact relative à la protection des données est particulièrement importante dans les circonstances suivantes :
a) une évaluation systématique et extensive des aspects personnels relatifs aux personnes physiques qui est fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées des décisions qui produisent des effets juridiques concernant la personne ou qui l’affectent de manière significative de façon similaire ;
b) le traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ;
c) la surveillance systématique à grande échelle d’une zone accessible au public[3].
La liste susmentionnée n’est pas exhaustive. Il peut exister d’autres traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes, qui devraient également être soumis à l’AIPD.
Le RGPD énonce les principales exigences et les principaux critères en ce qui concerne l’AIPD. Il ne comprend qu’une brève description de ce processus et ne précise pas la méthodologie. Par conséquent, les responsables du traitement disposent d’une certaine marge de manœuvre et sont autorisés à déterminer la forme et la structure de l’AIPD. Ce qui importe le plus, c’est que le résultat de ce processus soit une véritable identification des risques.
Le groupe de travail Article 29 sur la protection des données[4] (WP29) recommande des cadres de DPIA sectoriels car une telle évaluation prendra en compte les spécificités d’un type particulier d’opération de traitement. Dans ce cas, l’EDPI peut porter sur les observations qui s’émettent dans un secteur spécifique, ou lors de l’utilisation de technologies particulières ou de la réalisation de types particuliers d’opérations de traitement.[5]
Le règlement général sur la protection des données est muet sur la transparence d’un DPIA et n’exige pas sa publication. Les responsables du traitement peuvent décider eux-mêmes de ce problème. Selon les lignes directrices du WP29, les responsables du traitement devraient envisager de publier au moins certaines parties de leur DPIA, telles qu’un résumé ou une conclusion. Cela renforcera la confiance dans les opérations de traitement et favorisera la responsabilité et la transparence.[6]
En ce qui concerne la Géorgie, l’accord d’association avec l’Union européenne [7] et son agenda [8] prévoient d’assurer un niveau élevé de protection des données à caractère personnel en Géorgie. Cependant, la législation géorgienne actuellement en vigueur n’est pas entièrement conforme aux exigences de la loi européenne sur la protection des données et ne prévoit pas les nouveautés importantes introduites par le Conseil de l’Europe et les instruments juridiques de l’UE.
En 2019, le service d’inspection de l’État a rédigé un projet d’amendement législatif [9] visant à harmoniser la législation géorgienne avec les normes européennes, mais il n’a pas encore été adopté. En outre, à ce jour, la Géorgie n’a pas non plus signé le protocole n° 223 de la STCE portant amendement de la Convention 108 (Convention 108+) [10].
Le projet de loi de la Géorgie sur la protection des données personnelles initié au Parlement en 2019 émet entre autres observations une réglementation sur l’évaluation de l’impact de la protection des données, la désignation des délégués à la protection des données et le profilage, ce qui devrait être évalué positivement. Cependant, dans le même temps, le projet de loi doit être amélioré à certains égards.
Le projet de loi devrait prévoir l’obligation pour le service de protection des données personnelles d’élaborer et de publier la liste d’un certain type d’opérations de traitement, qui sont soumises à l’exigence d’une évaluation de l’impact sur la protection des données. Lorsqu’il s’acquitte de cette obligation, le service de protection des données personnelles doit tenir compte des critères définis par le groupe de travail de l’article 29. La création d’une telle liste garantira la sécurité juridique et la prévisibilité. En outre, il est conseillé à l’autorité de contrôle de déterminer les opérations de traitement qui ne sont pas soumises à l’obligation d’effectuer une DPIA.
En conclusion, la législation géorgienne devrait répondre aux défis de l’ère numérique et fournir des garanties appropriées pour la protection des droits, des libertés et des intérêts des personnes concernées. L’harmonisation avec les normes européennes et la mise en œuvre des nouveautés prévues par la loi européenne sur la protection des données constitueront une avancée importante en termes d’intégration européenne et, dans le même temps, faciliteront le renforcement de la protection des droits humains en Géorgie.
Voir le rapport complet.
*Ketevan Kukava est cofondateur et directeur d’une organisation géorgienne à but non lucratif, le « Centre de Droit et politiques publiques », et responsable du groupe d’intérêt spécial sur la protection des données personnelles à l’Internet Society – chapitre de Géorgie.
[1] Kaminski M, E., Malgieri, G., Algorithmic impact assessments under the RGPD : producing multi-layered explanations, International Data Privacy Law, 2021, Vol. 11, 11, No. 2, p. 131.
[2] Ibid.
[3] General Data Protection Regulation, Article 35 (3).
[4] Le groupe de travail sur la protection des données de l’article 29 est un organe consultatif créé par la directive sur la protection des données. Depuis le 25 mai 2018, il a été remplacé par le forum européen de la protection des données – un organe établi par le règlement général sur la protection des données. Lors de sa première réunion plénière, le forum européen de la protection des données a approuvé les lignes directrices du WP29 liées au RGPD.
Disponible à l’adresse : https://bit.ly/3jeF0YL (consulté le 05.12.2022).
[5] Groupe de travail sur la protection des données de l’article 29, Lignes directrices relatives à l’analyse d’impact sur la protection des données (DPIA) et à la détermination du fait qu’un traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement 2016/679, 2017, p. 17.
[6] Groupe de travail Article 29 sur la protection des données, Lignes directrices relatives à l’analyse d’impact sur la protection des données (DPIA) et déterminant si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement 2016/679, 2017, p. 18.
[7] Accord d’association entre l’Union européenne et la Communauté européenne de l’énergie atomique et leurs États membres, d’une part, et la Géorgie, d’autre part, article 14, disponible à l’adresse : https://bit.ly/2Xe5UUF (consulté le 01.12.2022).
[8] Le programme d’association UE-Géorgie, disponible sur : https://bit.ly/3JIRVNy (consulté le 01.12.2022).
[9] Projet de loi de la Géorgie sur la protection des données personnelles et les amendements législatifs qui l’accompagnent, disponible sur : https://bit.ly/3FhrVVF (consulté le 01.12.2022).
[10] L’état des signatures et des ratifications est disponible à l’adresse : https://bit.ly/3Rh1THX (consulté le 31.01.2023)..