Andorre : zoom sur la loi sur la protection des données

03 Août

C’est en mai que la nouvelle loi sur la protection des données, « Loi 29/2021, du 28 octobre, relative à la protection des données personnelles », entrera en vigueur en Andorre. Cette nouvelle loi élargit et définit les droits des personnes physiques, tels que les droits de portabilité et de limitation. Zoom dans cet article.

Une mise à jour de la loi sur la protection des données

Commençons par noter qu’Andorre avait déjà à sa disposition une résolution. Celle-ci garantissait un niveau adapté de protection des données personnelles, que ce soit à l’intérieur ou à l’extérieur du pays, le fruit de la décision 2010/625/UE du 19 octobre 2010.

Néanmoins, le Règlement européen sur la protection des données (RGPD) considère que cette décision peut être révisée tous les quatre ans et correspond avec la date d’adoption du nouveau cadre réglementaire. Étant donné que l’Andorre ne fait pas partie de l’Union européenne, elle est signataire de la Convention 108 sur la protection des données personnelles. Cela est d’ailleurs à l’origine de plusieurs lois actuelles.

Par ailleurs, l’Andorre a pour priorité de s’ouvrir au marché numérique. C’est donc la raison pour laquelle elle désire adopter une réglementation semblable à celle des pays impatients de venir investir.

Loi sur la protection des données : qui doit appliquer cette loi ?

La LQPD (Llei 29 2021, del 28 de octubre, qualificada de protecció de dades personals) devra être appliquée par les :

• Personnes ;
• Entités ;
• Sociétés ;
• Et toutes les entreprises privées et publiques.

À savoir que ces dernières doivent traiter des données personnelles.

Par ailleurs, la LQPD fait également référence au traitement manuel et automatisé de données. Celles-ci sont situées sur le territoire andorran par des sociétés domiciliées en Andorre, de même que celles de l’étranger qui interviennent dans le pays.

Quels sont les nouveaux droits des personnes physiques ?

Aux droits d’accès, d’effacement, de rectification et d’opposition déjà inclus dans la loi de 2003, s’ajoute le droit d’oubli, à la réglementation du traitement et à la portabilité. Ainsi, tous ces droits visent à assurer le plus haut niveau de protection des données à caractère personnel.

De plus, la LQPD détermine si la personne visée doit être informée de la manière dont elle peut exercer ses droits. Cet exercice est sans frais et le responsable du traitement des données personnelles au sein de la société doit obligatoirement y répondre.

Ce dernier devra également le faire dans un délai d’un mois maximum, tout en indiquant l’acceptation, le refus ou encore la prolongation de la demande et en justifiant cette décision.

Quelles sont les différentes sanctions financières ?

La nouvelle loi sur la protection des données envisage également un régime de sanctions avec des pénalités supérieures à la loi protection 2003. Elle les catégories de la manière suivante :

• Sanctions mineures : de 500 à 15 000 € ;
• Sanctions sérieuses : de 15 001 à 30 000 € ;
• Sanctions très graves : de 30 001 à 100 000 €.

L’organe responsable de lancer des avertissements et d’appliquer des sanctions financières aux sociétés privées est l’agence andorrane de protection des données personnelles. Par contre, du côté de l’administration publique, l’ADPS peut seulement signaler publiquement l’infraction dans le Bulletin officiel et ouvrir un dossier, mais il n’y aura pas de pénalité.