Les autorités de protection des données personnelles dans l’espace francophone Projet de rapport

Présenté par :

M. Josué MBADINGA MBADINGA Sénateur (Gabon)

Vice-Président de la Commission

et

M. Nguessan KOUAME Député (Côte d’Ivoire)

Rapporteurs

OOOOttawa (ttawa (ttawa (ttawa (CCCCanada)anada)anada)anada) | 22222222----23 avril 201623 avril 201623 avril 201623 avril 2016

2

Ce rapport sur les Autorités de protection des données personnelles dans l’espace francophone est un pré-rapport avant la rédaction du rapport proprement dit. Dans ses articulations, il présente l’introduction, le contexte, les objectifs et la méthodologie, d’une part, et met en lumière les grandes tendances qui se dégagent des premiers résultats reçus, suite au questionnaire sur le cadre législatif, l’existence et le fonctionnement des Autorités de protection des données personnelles, d’autre part.

Le rapport final apportera plus de détails sur ces différents aspects.

Introduction

Le développement des technologies de l’information et de la communication et leur diffusion rapide à travers le monde ont révolutionné le quotidien de l’homme dans tous les secteurs d’activités.

L’accès à ces technologies, le recours aux services multiformes qu’elles offrent pose toutefois aujourd’hui avec acuité le problème de la protection des droits des personnes et de leur vie privée.

En effet, les Etats sont de plus en plus confrontés aux abus de toute sorte liés à l’utilisation des données personnelles. La lutte contre la cybercriminalité est devenue une préoccupation mondiale. De nombreux défis interpellent à cet égard la communauté internationale. Ils concernent essentiellement la protection des droits fondamentaux, la sécurité des biens, des personnes et des Etats.

Si la volonté de faire face à ces défis est unanimement partagée, il n’en demeure pas moins que les disparités existant entre les Etats en matière de progrès technologiques, de ressources humaines et budgétaires ne permettent pas toujours d’atteindre les résultats escomptés sur l’ensemble de l’espace francophone.

Aussi, parait-il judicieux d’initier des rencontres et des actions afin de pallier ces manquements par le partage d’expériences et à travers des recommandations. Tel est le sens de ce rapport initié par l’Assemblée Parlementaire de la Francophonie (APF).

Contexte du rapport

Aux termes de l’article 12.7 du règlement de l’APF : « les commissions déterminent les sujets d’intérêt de leur compétence en prenant en compte les priorités arrêtées par le Sommet. Elles établissent des rapports sur les questions étudiées. Elles peuvent proposer à l’Assemblée plénière des motions, résolutions, avis ou recommandations qui sont présentés par le Président et le rapporteur de la commission concernée. Elles peuvent adopter des Déclarations par consensus dans l’intervalle des Assemblées plénières ». En application de cet article, le projet d’établir un rapport sur « les Autorités de Protection des Données Personnelles (APDP) dans l’espace francophone » a été proposé par le rapporteur et validé par les instances de la Commission des Affaires Parlementaires (CAP) et celles de l’APF.

3

A l’instar des autres rapports établis par les différentes Commissions, celui-ci est une contribution à la mise en œuvre effective des grandes orientations définies dans les objectifs de l’APF. A travers donc ces rapports, les Commissions participent à la vie institutionnelle de la Francophonie de par leurs avis et recommandations à la Conférence ministérielle et au Conseil permanent de la Francophonie sur les questions relatives à « la promotion de la démocratie, de l’Etat de droit et des droits de la personne, plus particulièrement au sein de la communauté francophone ».

Objectifs du rapport

L’enquête initiée par l’APF pour mieux cerner ce problème de la protection des données à caractère personnel est d’un grand intérêt, dans la mesure où elle permettra de contribuer à la recherche des voies et moyens susceptibles d’améliorer les systèmes de protection des données personnelles. Pour ce faire, le présent rapport vise à passer en revue les différentes Autorités de protection des données personnelles dans l’espace francophone, en mettant l’accent sur le cadre juridique les régissant et sur leur fonctionnement en référence à certains critères établis par les organismes internationaux à cet effet.

Méthodologie

Le présent rapport résulte de l’analyse des informations mises à disposition par les différentes sessions membres de la Commission des Affaires Parlementaires suite au questionnaire qui leur a été adressé par voie électronique. En outre, une revue de littérature sur les APDP, a permis de compléter éventuellement certaines informations contenues dans les réponses au questionnaire.

Sur l’ensemble des sections (81) ayant reçu le questionnaire, seulement 13 ont renvoyé un questionnaire renseigné. Il s’agit du Canada, de la France, la Suisse, la Belgique, le Québec, le Sénégal, le Mali, le Gabon, la Tunisie, Andorre, la Vallée d’Aoste, la Roumanie et de la Côte d’Ivoire.

Le questionnaire a été dépouillé et analysé aux fins de dégager les éléments de synthèse concernant le cadre législatif, l’existence des APDP, leur fonctionnement et caractéristiques dans les différents pays dont les sections ont répondu audit questionnaire.

Aux fins de la rédaction de ce rapport, la méthodologie retenue consiste donc à comparer les systèmes de protection des données personnelles en vigueur au sein de l’espace francophone. Une telle approche vise, non seulement à mettre en relief les similitudes et les particularités de ces systèmes au niveau du cadre juridique et des APDP, mais également à élargir la réflexion sur les perspectives de leur efficacité.

4

Le rapport s’articule autour de trois grandes parties :

I. Cadre juridique (dispositions internationales, régionales et nationales) sur la protection des données personnelles dans l’espace francophone.

II. Présentation des Autorités de protection des données personnelles dans l’espace francophone.

III. Attentes des pays francophones en matière de protection des données personnelles.

Dans la première partie, il s’agit de dresser un état des lieux sur la législation internationale, régionale et nationale relative à la protection des données personnelles dans l’espace francophone.

Dans la deuxième partie, il s’agit de faire une présentation des différentes autorités de protection des données personnelles dans l’espace francophone en mettant l’accent sur leur organisation et fonctionnement.

A la lumière de ce diagnostic, il conviendra d’aborder dans la troisième partie les attentes des pays francophones sur cette question en ce qui concerne notamment la réduction du fossé numérique entre les régions, la solidarité des Etats et le rôle des parlementaires

Cependant, compte du nombre minoritaire des réponses enregistrées et du retard accusé dans la transmission des contributions, il est présenté ici, les grandes tendances qui se dégagent des premiers résultats.

I. Au niveau du cadre législatif sur la protection des données à caractère personnel

Au niveau du cadre législatif, toutes les sections (12 sur 13) ayant répondu au questionnaire sauf la Vallée d’Aoste, disposent d’une loi nationale en matière de protection des données personnelles. Ces lois sont pour la plupart des transpositions d’instruments internationaux ou s’en sont largement inspirées. Les textes de loi recensés sont les suivants : - la loi canadienne sur les droits de la personne de 1977 ; - la loi n°78-17 du 6 janvier 1978 « Informatique et libertés » (France) ; - la loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels de 1982 (Québec) ; - la loi fédérale sur la protection des données ou LPD du 19 juin 1992 (Suisse) ; - la loi de 1992 sur la protection de la vie privée des personnes physiques à l’égard des traitements de données personnelles (Belgique) ; - la loi sur la protection des renseignements personnels dans le secteur privé de 1993 (Québec) ;

5

- la loi sur la protection des renseignements personnels ou LPRP et la loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDE, adoptée en 2001 (Canada) ; - la loi 677/2001 relative à la protection des personnes à l’égard du traitement des données à caractère personnel et la libre circulation de ces données (Roumanie) ; - le DL italien n°196 du 30 juin 2003 relatif à la protection des données personnelles et au traitement des données (applicable dans la Vallée d’Aoste) ; - la loi n°15/2003 du 18 décembre 2003 relative à la protection des données à caractère personnel (Andorre) ; - la loi n°2008-12 du 25 janvier 2008 (Sénégal) ; - la loi n°1/2011 relative du 25 septembre 2011 relative à la protection des données à caractère personnel (Gabon) ; - la loi n° la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel (Côte d’Ivoire). Les plus anciens parmi lesdits textes sont ceux du Canada, de la France, du Québec, de la Suisse et de la Belgique. Par ailleurs, en dehors de ces lois issues des transpositions de textes internationaux, certains pays disposent d’une législation nationale à contenu général ou spécifique pour la protection des données à caractère personnel. Tel est le cas à Andorre où deux décrets d’application de la loi sur la protection des données à caractère personnel ont été pris. Il s’agit du décret du 1er juillet 2004 instituant le registre public pour l’inscription des fichiers contenant des données à caractère personnel et du décret du 9 juin 2010 portant sur l’approbation du règlement de l’Agence andorrane de sécurisation des données (APDA). La constitution de la Roumanie, adoptée en 1991 reconnaît, en vertu du titre II (droits fondamentaux, libertés et devoirs) le droit à la vie privée, l'inviolabilité du domicile et la liberté de conscience et d'expression. En France, les droits proclamés dans la déclaration des droits de l'Homme et du citoyen de 1789 sont garantis par la constitution. En Tunisie, un corpus juridique assez fourni protège les données personnelles notamment la constitution de 1959 qui dispose en son article 9 que : « L'inviolabilité du domicile, le secret de la correspondance et la protection des données personnelles sont garantis » et l’article 24 de la Constitution de 2014, dispose que: « L’État protège la vie privée, l’inviolabilité du domicile et le secret des correspondances, des communications et des données personnelles », la loi organique relative à l’'Instance Supérieure Indépendante pour les Élections (ISIE), la loi organique relative à la justice transitionnelle créant l’Instance de Vérité et de dignité (IVD), la loi organique n° 2013-43 du 23 octobre 2013, relative à l’instance nationale pour la

6

prévention de la torture et la loi organique n°2016-22 du 24 mars 2016 relative au droit d’accès à l’information et qui protège également les données personnelles

Les différents textes internationaux régissant la protection des données à caractère personnel dont se sont inspirés les législations nationales sont pour l’essentiel : - la Directive n°95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Andorre, Belgique, Roumanie, Canada, Tunisie) ; - la Convention n°108 du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son protocole additionnel (Andorre, Roumanie, Suisse) ; - le projet de règlement européen sur la protection des données de 2012 (Côte d’Ivoire) ; - l’Acte Additionnel A/SA.1/01/10 du 16 février 2010 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO (Côte d’Ivoire) ; - la Convention sur la cybersécurité et la protection des données de l’Union Africaine (Côte d’Ivoire). En plus de ces textes fondamentaux, d’autres instruments internationaux interviennent en matière de protection des données à caractère personnel. Il s’agit notamment : - des directives européennes (2002/58/CE, 2000/ 31/CE etc.) en matière de

protection des données personnelles (Roumanie) ; - des Lignes directrices régissant la protection de la vie privée et les flux

transfrontaliers de données de caractère personnel adoptées en 1980 par l’Organisation de coopération et de développement économiques (OCDE) (Canada, Québec) ;

- la Convention de Budapest sur la cybercriminalité du 23 novembre 2001 (Côte d’Ivoire).

II. Au niveau des Autorités de protection des données personnelles au sein de l’espace francophone

� Au niveau de l’existence des Autorités de protection des données personnelles, toutes les sections, sauf la Vallée d’Aoste, ayant répondu au questionnaire affirment qu’il existe une Autorité de protection des données personnelles dans leur pays. Ainsi, à Andorre, c’est l’Agence andorrane de sécurisation des données (APDA), en France, l’Autorité en charge de la protection des données à caractère personnel est la Commission Nationale Informatique et Libertés (CNIL).

7

En Belgique, de même qu’au Canada, ce sont les Commissions de la protection vie privée qui exercent cette mission. En Côte d’Ivoire, les missions de l’Autorité de protection des données à caractère personnel sont exercées par l’Autorité de Régulation des Télécommunications/TIC (ARTCI). Au Gabon, la loi dont les références sont citées ci-dessus (section 1) prévoit la mise en place d’une autorité nationale de protection des données personnelles dénommée, Commission Nationale pour la Protection des données à Caractère personnel (CNPDCP), mise en place depuis novembre 2012. Au Québec, l’Autorité de protection des données est la Commission d’accès à l’information du Québec. En Roumanie, c’est l’Autorité Nationale de Contrôle du Traitement des Données à Caractère Personnel (ANCTDCP). En Suisse, il s’agit du Préposé fédéral à la protection des données et à la transparence (PFPDT). Au Mali, c’est l’Autorité de Protection des Données à caractère personnel. En Tunisie, l’institution chargée du contrôle de l’application de la loi en la matière est l’Instance Nationale de Protection des Données à caractère Personnel. Au Sénégal, c’est la Commission Nationale de protection des Données Personnelles.

� Pour ce qui est de leurs missions, selon les réponses reçues, ces Autorités remplissent d’importantes missions en matière de protection des données à caractère personnel notamment :

� le traitement des données personnelles ; � le respect des droits et des libertés fondamentales ; � la garantie de la dignité humaine.

Pour ce faire, elles veillent au respect de la loi sur la protection des données à caractère personnel, tels sont les cas de l’Agence andorrane de sécurisation des données d’Andorre, de la Commission d’accès à l’information du Québec, du Préposé fédéral à la protection des données et à la transparence en Suisse, de

l’Autorité Nationale de Contrôle du Traitement des Données à Caractère Personnel de la Roumanie. En outre, elles exercent des missions de protection et de promotion des droits des personnes à la vie privée (Roumanie, Canada, Québec), des missions de sensibilisation de la population et de tous les acteurs sur le traitement des données personnelles (Suisse, Canada, Côte d’Ivoire, Sénégal).

� En ce qui concerne les pouvoirs règlementaire, de contrôle et de sanction des Autorités de protection des données personnelles, cinq (5) des sections qui ont répondu au questionnaire à savoir la Roumanie, la France, le Québec, la Côte d’Ivoire, le Gabon et le Mali ont des Autorités qui disposent des trois pouvoirs.

8

D’autres (trois sections) par contre ne disposent que des pouvoirs de contrôle et de sanction. Il s’agit des Autorités de protection des données personnelles d’Andorre, du Sénégal et de la Tunisie. Pour les autres sections, notamment, la Belgique, la Suisse, et le Canada, les Autorités de protection des données ont soit un pouvoir de contrôle, soit un pouvoir de sanction, soit elles ne disposent d’aucun de ces pouvoirs.

� Au niveau de l’indépendance et du statut des APDP, suivant les réponses reçues, toutes les sections estiment que les Autorités de protection des données personnelles exercent leurs activités en toute indépendance et ne reçoivent aucune instruction des pouvoirs publics.

� Pour ce qui est de la composition et du mode de désignation de leurs membres, selon les réponses fournies, il convient de distinguer deux modèles d’Autorités de protection : les Autorités construites sur le modèle collégial et celles construites sur le modèle du Commissaire unique. Celles qui sont construites sur le modèle collégial sont composées de plusieurs membres et leur nombre varie entre sept (7) et dix-sept (17). Il s’agit des APDP d’Andorre, de la Belgique, de la France, du Québec, de la Côte d’Ivoire, du Gabon, du Mali, du Sénégal et de la Tunisie. Pour celles qui sont construites sur le modèle de commissaire unique, qui porte le titre de Commissaire, sur les 12 sections ayant répondu au questionnaire, trois (3) fonctionnent sur ce modèle. Il en est ainsi des Autorités de Roumanie, de Suisse et de Canada.

� Concernant les autorités de nomination, il existe une grande diversité et les procédures varient. En effet, dans le but d'augmenter l'indépendance, certaines autorités ont des membres qui sont chacun nommés par une autorité différente avec la confirmation du Parlement ou non. C'est le cas pour la CNIL en France, dont les autorités de nomination sont les deux chambres du Parlement, le CESE, le Conseil d'État, la Cour de Cassation, la Cour des comptes, et le gouvernement. Il en est également pour le Préposé fédéral à la protection des données et à la transparence (PFPDT) en Suisse où celui-ci est nommé par le Conseil fédéral et confirmé par le Parlement. Au Canada, le commissaire à la protection de la vie privée est nommé par le gouverneur en conseil et approuvé par résolution du Sénat et de la Chambre des communes. Tel est aussi le cas au Québec où les membres de la Commission d’accès à l’information sont nommés sur proposition du premier ministre, par résolution de l’Assemblée nationale approuvée par au moins les deux tiers des députés. Au Sénégal et au Mali, les membres des Commissions Nationales de Protection des Données Personnelles sont nommés par le Président de la République (trois des membres), le Président de la Cour Suprême (deux), l’Assemblée nationale (un).

9

Dans certaines sections par contre, comme l’Andorre, la Belgique et la Roumanie les membres des APDP sont élus ou désignés par le seul Parlement.

Dans d’autres pays notamment en Côte d’Ivoire, au Gabon et en Tunisie, les membres de l’APDP sont nommés par décret pris en Conseil des Ministres sur proposition soit du ministre chargé des droits de l’Homme (Tunisie), soit du Ministre en charge des TIC (Côte d’Ivoire).

� Pour ce qui est du mandat des membres des APDP, il varie entre trois (3) ans (Tunisie) et sept (7) ans avec possibilité de renouvellement ou non. Ainsi, les membres des APDP d’Andorre, de la Suisse et du Sénégal sont désignés pour un mandat de 4 ans renouvelable une fois ; 5 ans renouvelables pour les membres des APDP de la France, de la Roumanie, du Québec, du Gabon ; 6 ans renouvelables ou non pour ceux de la Côte d’Ivoire et de la Belgique ; 7 ans renouvelables ou non pour les membres des APDP du Canada et du Mali.

� Au niveau de l’autonomie financière et des sources de financement des APDP, toutes les Autorités disposent de l’autonomie financière, sauf en Tunisie où le budget de l’Instance est rattaché au budget du ministère chargé des droits de l’Homme.

Toutes fois, certaines sections (le Gabon, le Mali, la Tunisie notamment) estiment que le budget alloué n’est pas suffisant pour permettre à l’Autorité de mener à bien ses missions. Ces montants englobent les frais personnels et les frais d’entretien.

Pour ce qui est des sources de financement, en dehors du budget alloué par l’Etat, des financements peuvent provenir des activités des Autorités elles-mêmes, notamment des frais de dossier, des sanctions pécuniaires, tel est l’exemple de l’ARTCI en Côte d’Ivoire.

Le constat général qui se dégage de l’analyse de ces données, est la nette disparité entre les pays du Nord et ceux du Sud, en témoignent ces données chiffrées qui suivent :

� Gabon : 913.000 Euros (2015) ; � Suisse : 6.000.000 de Francs suisses (2015) ; � Andorre : 401.485 Euros (2016) ; � Belgique : 7.365.000 Euros (2014) ; � Québec : 5,9.000.000 de dollars canadiens (2015-2016) ; � Sénégal : 200.000.000 de francs CFA ; � CNIL : 18.298.779 Euros (2015) ; � Mali : 500.000.000 de francs CFA (2015) ; � Canada : 24,5.000.000 de dollars canadiens (2016-2017).

10

Notons que la Roumanie et la Vallée d’Aoste n’ont pas donné le montant de leurs budgets annuels.

� Au niveau du contrôle parlementaire des APDP, huit (08) des treize (13) sections ayant renvoyé un questionnaire renseigné affirment l’existence d’un contrôle parlementaire sur les activités des Autorités de protection des données personnelles. Ce contrôle comporte des particularités et se fait :

- soit par une commission spécialisée. Il en est ainsi à Andorre où le contrôle et le suivi de l’APDA sont effectués par la Commission législative de l’intérieur. En Suisse et en Tunisie, les Autorités de protection des données personnelles peuvent être l’objet de contrôle du Parlement, notamment par l’intermédiaire des commissions de gestion ou des finances. Au Canada le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes a le mandat d’étudier les questions relatives au Commissariat à la protection de la vie privée du Canada.

- soit en plénière lors de la présentation de son rapport annuel, tel qu’il existe en Roumanie où le Président de l’ANCTDCP présente un rapport annuel d’activité en séance plénière du Sénat, ou à travers une séance d’information sur des questions écrites ou orales notamment en Côte d’Ivoire et en Tunisie où les Présidents des Autorités peuvent être convoqués à travers une question écrite ou orale pour des auditions sur des aspects spécifiques de son fonctionnement.

- soit à posteriori par la transmission d’un rapport annuel. En Belgique, la Commission vie privée rédige, chaque année un rapport d’activités destiné à la fois aux parlementaires et au public. Il en est de même en Suisse, en Côte d’Ivoire, Canada et au Québec ; ou des rapports spéciaux comme au Canada où en vertu de la LPRP, le Commissaire à la protection de la vie privée peut présenter des rapports spéciaux au Parlement à toute époque de l’année.

Quatre (4) des treize (13) sections affirment que les APDP de leur pays ne font l’objet de contrôle parlementaire. Il s’agit du Sénégal, du Mali, du Gabon, de la Vallée d’Aoste et de la France.

� Pour ce qui est de la coopération entre les Autorités de protection des données personnelles, toutes les sections ayant répondu au questionnaire affirment que leurs autorités sont membres de l’Association Francophone des Autorités de Protection des données personnelles (AFAPDP). Ceux qui n’y sont pas encore affiliés, tel que le Mali, en ont déjà fait la demande.

11

III. Attentes des pays francophones en matière de protection des données personnelles

� Au niveau de l’usage des TIC

L’usage des nouvelles Technologies de l’Information et de la Communication (TIC) est encore à ses balbutiements dans certains Etats francophones du Sud et varie d’un pays à un autre.

La préoccupation majeure à l’échelle internationale, s’agissant de cet usage concerne la réduction du fossé numérique. Celui-ci se caractérise par le décalage existant entre les pays du Nord et ceux du Sud en matière d’accès et d’appropriation des nouvelles technologies de l’information et de la communication (NTIC)

Au-delà de cette bipolarisation Nord-Sud, la fracture numérique est également perceptible entre les centres urbains et les zones rurales. Elle se manifeste aussi au travers de la disparité des catégories sociales, des niveaux de revenus, d’instruction ou d’alphabétisation.

Au regard de sa complexité, la réduction du fossé numérique requiert des actions multiformes et volontaristes, notamment :

- le développement des infrastructures et des équipements de pointe en matière de technologie de l’information et de la communication ;

- la promotion des programmes de formation aux NTIC ; - la promotion de l’investissement privé ; - la vulgarisation de l’accès du plus grand nombre aux NTIC ; - le renforcement de la coopération entre les Etats.

� Au niveau de la solidarité entre les Etats francophones.

La solidarité entre les Etats francophones en matière de protection des données personnelles doit être effective et agissante, au plan bilatéral et multilatéral, au sein des espaces communautaires ou régionaux et dans les milieux associatifs. Cette solidarité doit permettre :

� d’harmoniser les cadres juridiques et réglementaires ; � de promouvoir les échanges d’expérience, plus particulièrement

entre le Nord et le Sud ; � de mobiliser les ressources tant humaines que budgétaires surtout au

profit des pays du Sud.

12

� Au niveau de l’apport des parlementaires francophones.

Bien que les autorités de protection soient indépendantes, il existe des particularités dans l’espace francophone. Certaines autorités de protection travaillent en étroite collaboration avec les parlements, notamment en ce qui concerne :

� le dépôt des rapports d’activités ; � le contrôle et le suivi de leurs actions par les commissions

parlementaires ; � l’affectation et la mobilisation de leurs ressources ; � le recrutement des personnels.

Notons par ailleurs, ainsi que nous l’avons souligné plus haut, que certaines autorités de protection des données personnelles, à l’instar de celle du Gabon, ne sont pas astreintes au contrôle parlementaire.

L’appui des parlementaires à la protection des données personnelles peut se traduire entre autre par :

- le renforcement de la législation, en fonction de l’évolution des enjeux en matière de protection des données personnelles ;

- le vote des budgets nécessaires à la réalisation des politiques publiques dans ce domaine ;

- le contrôle de l’exécution des politiques publiques.

Conclusion

Au terme de l’analyse de ces premiers résultats, le constat général qui se dégage est la volonté des Etats de l’espace francophone à prendre en compte la protection des données personnelles. En témoignent l’existence dans presque toutes les sections (12 sections sur les 13 ayant répondu au questionnaire) de lois nationales issues d’instruments juridiques internationaux en la matière et la mise en place d’Autorités de protection à caractère personnel avec des garanties d’indépendance au niveau financier et organisationnel.

Cependant des efforts restent à faire notamment au niveau du budget alloué aux Autorités de protection des données personnelles, du contrôle parlementaire et surtout pour la réduction du fossé numérique entre le Nord et le Sud pour une protection harmonisée des données personnelles.

Il est vivement souhaitable que les autres sections transmettent leurs réponses au questionnaire en vue de la rédaction du rapport final.

13

ANNEXES

14

ANNEXE 1.

Liste des sections ayant réagi au questionnaire : 1. Andorre

2. Belgique

3. Canada

4. Côte d’Ivoire

5. France

6. Gabon

7. Mali

8. Québec

9. Roumanie

10. Sénégal

11. Suisse

12. Tunisie

13. Valée d’Aoste

15

ANNEXE 2 :

TABLEAU DES DIFFERENTES CONTRIBUTIONS

16

PAYS REPONSES Section 1 1. Votre pays dispose-t-il d’une loi nationale en matière de protection des données personnelles ? OUI (Si OUI, passer à la Section 2) NON (Si NON, passer à la Section 3) ANDORRE OUI. BELGIQUE Oui

CANADA

Oui, le Canada, au niveau fédéral, dispose de deux lois en matière de protection des données personnelles. a. Loi sur la protection des renseignements personnels D’abord, la Loi sur la protection des renseignements personnels (LPRP), qui est entrée en vigueur en 1983, s’applique aux institutions fédérales du Canada lorsqu’elles recueillent des renseignements personnels. La LPRP vise près de 250 institutions fédérales qui sont répertoriées à son annexe et traite de la façon dont celles-ci protègent les renseignements personnels. Notamment, la LPRP impose des obligations légales aux institutions fédérales en ce qui a trait à la façon de recueillir, de conserver, d’utiliser et de communiquer les renseignements personnels qu’elles détiennent. De plus, la LPRP confère aux individus un droit d’accès aux renseignements personnels qui les concernent et qui sont détenus par des institutions fédérales, ainsi qu’un droit de demander que ceux-ci soient corrigés. Finalement, la LPRP prévoit la désignation d’un ombudsman indépendant, le Commissaire à la protection de la vie privée du Canada. b. Loi sur la protection des renseignements personnels et les documents électroniques Puis, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), adoptée en 2001, porte sur la façon dont les organisations du secteur privé protègent les renseignements personnels. La LPRPDE vise à concilier le droit des individus au respect de la vie privée et le besoin raisonnable qu’ont les organisations de recueillir, utiliser et communiquer des renseignements à des fins économiques. La LPRPDE s’applique à toutes organisations à l’égard des renseignements personnels : • qu’elle recueille, utilise ou communique dans le cadre d’activités commerciales; • qui concernent un de ses employés ou l’individu qui postule pour le devenir et qu’elle recueille, utilise ou communique dans le cadre d’une entreprise fédérale. Il est à noter que la LPRPDE ne s’applique pas aux institutions fédérales auxquelles s’applique la LPRP, aux renseignements personnels recueillis, utilisés ou communiqués par un individu à des fins personnelles ou privées et aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels à des fins journalistiques, artistiques ou littéraires. De plus, si une province canadienne adopte une loi essentiellement similaire à la LPRPDE, le gouverneur en conseil peut, par décret, soustraire les organisations ou les activités visées par cette loi provinciale à l’application de la LPRPDE. Notamment, un décret exclut des organisations du Québec de l’application de la LPRPDE étant donné que cette province détient une loi essentiellement similaire à la LPRPDE. De plus, le Nouveau-Brunswick détient une loi concernant la protection des renseignements personnels sur la santé et un décret exclut les organisations assujetties à cette loi.

CÔTE D’IVOIRE

Oui la Côte d’Ivoire dispose d’une loi nationale en matière de protection des données personnelles. Il s’agit de la loi n° la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel.

FRANCE Oui GABON Le Gabon dispose d’une loi nationale de protection des données personnelles. C’est la loi n°1/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel. MALI Oui : la loi N° 015 du 15 Mai 2013 QUEBEC Oui ROUMANIE

Oui : La Loi 677/2001 relative à la protection des personnes à l’égard du traitement des données à caractère personnel et la libre circulation de ces données.

SENEGAL Oui - il s’agit de la loi N° 2008-12 du 25 janvier 2008.

SUISSE En Suisse, c’est la loi fédérale sur la protection des données (LPD) du 19 juin 1992 qui règle ce domaine. Lien vers la loi : https://www.admin.ch/opc/fr/classified-compilation/19920153/index.html

TUNISIE

En Tunisie un corpus juridique assez fourni protège les données personnelles: La constitution de 1959 : Article 9 dispose que : « L'inviolabilité du domicile, le secret de la correspondance et la protection des données personnelles sont garantis » La constitution de 2014 : Article 24 dispose que: « L’État protège la vie privée, l’inviolabilité du domicile et le secret des correspondances, des communications et des données personnelles » La loi organique n° 2004-63 du 27 juillet 2004 sur la protection des données à caractère personnel D’autres lois relatives à des Instances nationales les soumettent à l’obligation de protéger les données personnelles (notamment la loi organique relative à L'Instance Supérieure Indépendante pour les Élections (ISIE), la loi organique relative à la justice transitionnelle créant l’Instance de Vérité et de dignité (IVD), la loi organique n° 2013-43 du 23 octobre 2013, relative à l’instance nationale pour la prévention de la torture …) ainsi que d’autres lois respectant ce droit constitutionnel notamment la loi organique n°2016-22 du 24 mars 2016 relative au droit d’accès à l’information et qui protège également les données personnelles.

VALEE D’AOSTE

Non. La Vallée d'Aoste est une région autonome au sein de l'état Italien; la compétence législative valdôtaine dont au Statut spécial d'autonomie (approuvé par loi constitutionnelle) ne prévoit pas une compétence en matière de protection des données personnelles, qui est au contraire de ressort de l'état.

Section 2 1. S’agit-il d’une transposition d’une législation communautaire ou d’un traité international portant sur la protection des données ? Préciser : (Exemples : Directive européenne sur la protection des données de 1995 ou projet de règlement européen

17

sur la protection des données de 2012 ? Acte additionnel sur la protection des données de la CEDEAO ? Convention 108 du Conseil de l’Europe ? Convention sur la cyber sécurité et la protection des données de l’UA ?)

ANDORRE

L’Andorre est un pays situé dans le continent européen mais il n’est pas membre de l’Union européenne. L’Andorre est un État indépendant doté d’un régime de Co principauté parlementaire. Le droit au respect de la vie privée est évoqué dans l’article 14 de la Constitution de la Principauté d’Andorre, approuvée par référendum le 14 mars 1993. La protection des données à caractère personnel est régie par la Loi qualifiée n° 15/2003 du 18 décembre 2003 relative à la protection des données à caractère personnel, mise en œuvre par divers instruments, dont deux décrets : le décret du 1er juillet 2004 instituant le registre public pour l’inscription des fichiers contenant des données à caractère personnel et par le décret du 9 juin 2010 portant sur l’approbation du règlement de l’Agence andorrane de sécurisation des données (APDA). Avec ces dispositions juridiques pour la protection des données à caractère personnel, l’Andorre assure un niveau de protection adéquat au sens de l’article 25, paragraphe 6 de la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, et il a été ainsi reconnu par la Commission européenne (Décision de la Commission européenne du 19 octobre 2010 (2010/625/UE). D’ailleurs, au plan international et concernant la protection des données, Andorre a signé et ratifié la Convention n°108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel, tous deux entrés en vigueur le 1er septembre 2008. Conformément à l’article 3.4 de la Constitution de l’Andorre, les traités et accords internationaux s’intègrent dans l’ordre juridique andorran dès leur publication au journal officiel de la Principauté d’Andorre et ne peuvent être modifiés ou abrogés par la loi. En d’autres termes, ces traités et accords font partie intégrante du droit andorran dès leur ratification et sont directement applicables en Andorre.

BELGIQUE

La Belgique a adopté en 1992 la loi « sur la protection de la vie privée des personnes physiques à l’égard des traitements de données personnelles » , qui a insaturé un devoir de transparence concernant l’utilisation de données personnelles, des règles d’utilisation de ces données et de nouveaux droits pour les personnes fichées. Ensuite, une directive européenne a été adoptée le 24 octobre 1995 pour harmoniser les règles de protection des données personnelles sur tout le territoire de l’Union Européenne. La loi de 1992 a donc été fortement modifiée par la loi du 11 décembre 1998 et par la loi du 26 février 2003 transposant cette directive européenne en droit belge.

CANADA

Au Canada, les premières dispositions en matière de protection de la vie privée ont été édictées en 1977 dans la Loi canadienne sur les droits de la personne en réponse au rapport d’un groupe d’étude fédéral canadien sur l’ordinateur et la vie privée. Subséquemment, en 1983, la LPRP, c’est-à-dire la loi actuelle régissant la protection des renseignements personnels pour les institutions fédérales, est entrée en vigueur. Il est à noter, que les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel adoptées en 1980 par l’Organisation de coopération et de développement économiques (OCDE) ont servi de fondement aux dispositions législatives de la LPRP. Néanmoins, la LPRP ne s’appliquait qu’aux institutions fédérales. En 2001, dix-huit ans plus tard, la LPRPDE, qui s’applique aux renseignements personnels dans le secteur privé, est entrée en vigueur. Il semble que la directive de 1995 de l’Union Européenne sur la protection des données ait encouragé le Canada à adopter une loi relative à la protection des renseignements personnels applicable au secteur privé. Finalement, des années 1980 jusqu’à l’adoption de la LPRPDE, des comités au Canada se sont penchés sur la question de la protection des renseignements personnels dans le secteur privé et le résultat de leur travail a influencé le contenu des dispositions de la LPRDE.

CÔTE D’IVOIRE

En Côte d’Ivoire, l’Assemblée nationale a adopté la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel. Elle a été par la suite promulguée par le Président de la république, publiée au journal officiel le 08 août 2013 et est entrée en vigueur le 13 août 2013. Cette loi a pour objet de transposer dans la législation nationale l’Acte Additionnel A/SA.1/01/10 du 16 février 2010 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO. Elle intègre également des dispositions pertinentes non prévues par le texte de la CEDEAO, mais contenues dans d’autres instruments juridiques internationaux notamment

FRANCE Non, il s’agit de la loi française n°78-17 du 6 janvier 1978 « Informatique et libertés » GABON Il ne s’agit pas d’une simple transposition d’une législation internationale. La Loi adoptée par le Gabon s’inspire cependant des textes internationaux. MALI Il s’agit d’une transposition d’un Traité international sur la protection des données

QUEBEC

Les deux lois québécoises pertinentes (la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels de 1982 et la Loi sur la protection des renseignements personnels dans le secteur privé de 1993) n’ont pas transposé de manière littérale des règles de droit international. Elles ont toutefois été adoptées en conformité avec les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (OCDE, 23 septembre 1980). De plus, la Loi sur la protection des renseignements personnels dans le secteur privé s’inspire de ce qui est devenu la Directive européenne 95/46/CE portant sur la protection des données à caractère personnel.

ROUMANIE

Tout d’abord, il faut souligner que la protection des personnes à l'égard du traitement des données à caractère personnel est un droit fondamental consacré par la Charte des droits fondamentaux de l'UE (article 8) et par le Traité sur le fonctionnement de l'Union européenne (article 16). Grâce à l’étroite coopération entre les juristes roumains et les experts de la Commission européenne, la Loi 677/2001 relative à la protection des personnes à l’égard du traitement des données à caractère personnel et la libre circulation de ces données est inspirée de la Directive européenne sur la protection des données de 1995. Dans le même contexte, on peut mentionner la transposition dans la législation roumaine d’autres directives européennes en matière (95/46/CE , 2002/58/CE, 2000/ 31/CE etc.). La Roumanie a adopté en 2001 la Loi 682 pour la ratification de la Convention 108 du Conseil de l’Europe. En ce qui concerne le projet de règlement européen sur la protection des données de 2012, c’est important à mentionner que Le Conseil Européen travaille actuellement à un paquet législatif proposé par la Commission Européenne en 2012, afin de mettre à jour et de moderniser législation en matière de protection des données. Ce paquet se compose de deux instruments législatifs: le règlement général sur la protection des données (destiné à remplacer la directive 95/46/CE) et la directive concernant la protection des données traitées à des fins répressives (destinée à remplacer la décision-cadre de 2008 sur la protection des données). Le Règlement et la Directive devraient entrer en vigueur au printemps 2018.

SENEGAL Non, la loi sénégalaise résulte d’une volonté des autorités.

18

SUISSE Oui, Convention 108 et son protocole additionnel

TUNISIE

La loi n° 2004-63 a été prise conformément aux Directives européennes sur la protection des données de 1995. Notons que la Tunisie a déposé sa demande d’adhésion en juillet 2015 à la Convention N° 10 du Conseil de l’Europe concernant la protection des données personnelles, que le Comité des ministres du Conseil de l’Europe a invité la Tunisie le 2 decembre 2015 à adhérer à la Convention de protection des donnees du Conseil de l’Europe et que la Tunisie doit ratifier cette Convention et amender la loi n° 2004 -63 pour se conformer aux normes. Cette action devra être complétée par la demande de l’adhésion de la Tunisie à la convention du Conseil de l’Europe sur la cybercriminalité.

3. Cette législation communautaire ou ce traité international prévoit-t-il la mise en place d’une autorité nationale de protection des données ? ANDORRE OUI.

CANADA Oui, la LPRP prévoit la mise en place d’une autorité nationale de protection des données. Cette autorité est le commissaire à la protection de la vie privée du Canada. Le commissaire à la protection de la vie privée est appuyé par le personnel du Commissariat à la protection de la vie privée du Canada.

COTE D’IVOIRE

Oui

MALI Oui

QUEBEC La loi québécoise n’est pas une transposition d’une législation communautaire ou d’un traité international. Toutefois, il nous a semblé pertinent de répondre aux deux volets 3.a et 3.b du questionnaire puisque ces deux parties permettent de fournir des renseignements appropriés sur le système québécois en matière de protection des renseignements personnels.

ROUMANIE

OUI. Dans tous les Etats membres de l’Union européenne, l’activité de protection des données à caractère personnel est assurée par des autorités et des institutions expressément établies à cette fin.

SUISSE Oui. TUNISIE oui 3. a- Si non, quelle institution de votre pays est en charge du contrôle de l’application de la loi ?

QUEBEC En 1982, le législateur a créé la Commission d’accès à l’information du Québec. Il a aussi confié à cet organisme le dossier de la protection des renseignements personnels dans le secteur public. En 1994, les pouvoirs de la Commission ont été étendus au secteur privé.

3. a. 1- Comment s’articule ses missions avec celles résultant de la loi en matière de protection des données ?

QUEBEC Le Rapport annuel de gestion 2013-2014 produit par la Commission présente sa double mission de la façon qui suit : La mission de la Commission d’accès à l’information consiste à promouvoir l’accès aux documents des organismes publics et la protection des renseignements personnels dans les secteurs public et privé, en assurer la surveillance et décider des demandes de révision et d’examen de mésentente qui lui sont présentées.

3. a. 2- Quelles sont les synergies d’action ou clivages entre les différentes missions ?

SENEGAL

Concernant les clivages entre les différentes missions, la Commission Nationale de Protection des Données Personnelles n’intervient que quand la « requérant » parvient à identifier la personne incriminée. Elle fait face ä des limites objectives quand il s’agit de réprimer. Elle est tenue d’informer, sans délai, le Procureur de la République, des infractions dont elle a connaissance. NB : La Commission Nationale de Protection de Données Personnelles peut s’autosaisir quand un enregistrement est mis en ligne sur un site internet. Dans ce cas, elle saisit le responsable du site et lui demande de retirer la vidéo ou l’enregistrement sonore incriminé. C’est la même démarche qui est adoptée quand quelqu’un met la photo d’autrui en Iigne.

QUEBEC

Il existe au sein de la Commission d’accès à l’information une direction de la surveillance (et d’enquête) et une division juridictionnelle. Celles-ci agissent dans les deux champs de la protection des renseignements personnels et de l’accès à l’information. Le président de la Commission assigne les dossiers aux membres (juges administratifs) des deux sections. Il favorise également la participation des membres à l’élaboration des orientations générales de la Commission, en vue de maintenir la qualité et la cohérence des décisions. De plus, le président veille au respect de la déontologie et au perfectionnement des membres.

3. a. 3- Quels sont les mécanismes de résolution des conflits d’intérêt éventuels ?

SENEGAL

La qualité de membre de la Commission Nationale de Protection de Données Personnelles est incompatible avec la qualité de membre du gouvernement, de l’exercice des fonctions de dirigeants d’entreprises, de la détention de participation dans les entreprises du secteur de l’informatique et des télécommunications. Ainsi, tout membre de la commission doit informer celle-ci des intérêts directs ou indirects qu’il détient ou vient ä détenir, des fonctions qu’il exerce ou vient ä exercer, et de tout mandat qu’il détient ou vient à détenir au sein d’une personne morale. Le cas échéant, la Commission prend toutes les dispositions utiles pour assurer l’indépendance et l’impartialité de ses membres. Un code de conduite est mis en place, par la commission, à cet effet.

QUEBEC

Voici certaines dispositions législatives pertinentes en matière de conflits d’intérêts : Code de déontologie des membres de la Commission d'accès à l'information Art. 11. Le membre s'abstient de se trouver dans une situation de conflit d'intérêts ou susceptible de porter atteinte à la dignité de sa charge ou de discréditer la Commission. Art. 14. Le membre divulgue auprès du président de la Commission tout intérêt direct ou indirect qu'il a dans une entreprise et qui est susceptible de mettre en conflit son intérêt personnel et les devoirs de sa charge. Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels

19

Art. 112. Aucun membre de la Commission ne peut, sous peine de déchéance de sa charge, avoir un intérêt direct ou indirect dans une entreprise mettant en conflit son intérêt personnel et celui de la Commission. Toutefois, cette déchéance n'a pas lieu si cet intérêt lui échoit par succession ou par donation, pourvu qu'il y renonce ou en dispose avec diligence. Art. 113. Un membre de la Commission ou de son personnel ne peut être poursuivi en justice en raison d'un acte officiel accompli de bonne foi dans l'exercice de ses fonctions.

3. b- Si oui, cette autorité nationale de protection des données est-elle déjà installée ?

ANDORRE OUI. L’Agence andorrane de sécurisation des données (APDA), créée par la Loi qualifiée n° 15/2003 du 18 décembre 2003 relative à la protection des données à caractère personnel, est en fonctionnement depuis 2005.

BELGIQUE

La directive européenne demande la création, dans chaque Etat membre, d’un organisme national indépendant chargé de la supervision de toutes les activités liées au traitement des données à caractère personnel. Il existait déjà une Commission vie privée depuis 1992, chargée de conseiller et d’être le médiateur pour toutes les matières liées à la protection de la vie privée et des données à caractère personnel. Mais cette commission, instituée au sein du Ministère de la Justice, ne jouissait pas d’une totale indépendance. Grâce à la loi du 26 février 2003 transposant la directive européenne 95/46/CE, la Commission vie privée exerce depuis le 1er janvier 2004 sa mission de contrôle de manière indépendante, sous les auspices de la Chambre des représentants.

CANADA

Oui, le premier commissaire à la protection de la vie privée du Canada a été nommé en 1977 à la suite de l’adoption des premières dispositions en matière de protection de la vie privée au Canada : En 1977, suite à la parution d'un rapport recommandant l'adoption de mesures législatives portant sur la protection des renseignements personnels contenus dans les banques de données fédérales, le Parlement a adopté la Loi canadienne sur les droits de la personne dont la partie IV créait le poste de Commissaire à la protection de la vie privée . Tel que mentionné plus haut, depuis 1983, la fonction de commissaire à la protection de la vie privée est régie par la LPRP. La LPRPDE confère également certains pouvoirs au commissaire dans le cadre de l’application de cette Loi.

CÔTE D’IVOIRE

En Côte d’Ivoire les missions de l’Autorité de protection des données à caractère personnel sont exercées par l’Autorité de Régulation des Télécommunications/TIC (ARTCI).

FRANCE Oui : il s’agit de la Commission Nationale Informatique et Libertés (CNIL)

GABON La Loi gabonaise dont les références sont citées ci-dessus (section 1) prévoit la mise en place d’une autorité nationale de protection de données personnelles dénommée : La Commission Nationale pour la Protection des données à Caractère personnel, en abrégée CNPDCP. Cette Commission a été mise en place depuis novembre 2012.

MALI Oui.

QUEBEC En 1982, le législateur a créé la Commission d’accès à l’information du Québec. Il a aussi confié à cet organisme le dossier de la protection des renseignements personnels dans le secteur public. En 1994, les pouvoirs de la Commission ont été étendus au secteur privé.

ROUMANIE

Au moment de l’adoption de la loi 677/2001, c’était l’avocat du peuple qui a été chargé de l’établissement, au sein de l’institution de l’Avocat du Peuple, d’une direction spéciale pour remplir la nouvelle mission de protection des données personnelles. En 2005, le Parlement a remis en question cet arrangement: le pouvoir de sanction en matière de protection des données personnelles dont avait été investi l’Avocat du Peuple, était difficilement conciliable avec son statut de médiateur, habilité à n’émettre que des recommandations. De plus, en vertu de la Directive européenne de 1995, cette structure de contrôle devrait bénéficier d’une réelle indépendance au sein de l’appareil de l’État. En conséquence, le Parlement a adopté la Loi 102/2005 portant création, organisation et fonctionnement de l’Autorité Nationale de Contrôle du Traitement des Données à Caractère Personnel (ANCTDCP) comme autorité publique, autonome et indépendante. La nouvelle créée Autorité a pleinement bénéficié du support des experts de la Commission européenne. De plus, les fonctionnaires de l’Autorité ont été associés aux réunions et aux travaux du «Groupe de l’article 29» de la Commission européenne. A présent, ANCTDCP participe très activement aux chantiers menés par ce Groupe dans des domaines comme la biométrie et le e - gouvernement.

SENEGAL Oui - Il s’agit de la Commission Nationale de protection des Données Personnelles. SUISSE Oui, la LPD a prévu la mise en place d’une autorité nationale : le Préposé fédéral à la protection des données et à la transparence (PFPDT)

TUNISIE Oui, prévue par la loi de 2004, elle n’a été créée qu’en 2008. le décret 2008-1753 du 5 mai 2008 nomme sa première composition

3. b. 1- Quelles sont ses missions ? S’agit-il d’une institution dédiée uniquement au contrôle de l’application de la loi de protection des données ? A-t-elle des compétences dans d’autres domaines ? (Exemples : Protection d’autres droits que ceux relatifs à la protection des données? Régulation des télécommunications ?)

ANDORRE

Les missions de l’APDA sont les suivantes : a) Veiller au respect de la loi de protection des données. b) Gérer le Registre public d’inscription des fichiers de données personnelles. c) Publier annuellement la liste des pays avec une protection équivalente. d) Exercer le pouvoir d’inspection et de sanction pour les infractions qui sont décrites dans la loi de protection des données. e) Proposer les améliorations des normes de protection des données personnelles qu’elle considère pertinentes. f) Élaborer un mémoire annuel sur son activité et les résultats qui en découlent. Le mémoire annuel est public. L’APDA est une institution uniquement dédiée au contrôle de l’application de la loi de protection des données.

BELGIQUE La Commission vie privée a pour mission de veiller au respect de la vie privée lors du traitement de données à caractère personnel. Elle permet aux entreprises de constituer leur base de données en toute légalité

20

et intervient lors des litiges relatifs au traitement des données à caractère personnel. Sa mission concerne donc uniquement le contrôle de l’application de la loi de protection des données. Voici ses compétences : - Emettre des avis à l’égard des différents législateurs nationaux relatifs aux textes législatifs qui sont en rapport avec la protection des données à caractère personnel; - Accorder des autorisations aux entreprises sur le traitement et le partage des données à caractère personnel et, dans un même temps, évaluer également la sécurité des traitements de données; - Effectuer des contrôles et des inspections en ce qui concerne le respect de la législation relative à la vie privée; - Fournir des informations au Parlement et aux instances publiques tant qu’aux responsables du traitement et au grand public; - Fournir une assistance à tous ces groupes cibles afin de faire respecter correctement la législation relative à la vie privée; - Traiter des plaintes concernant le traitement des données à caractère personnel; collaborer avec des homologues au niveau européen et mondial

CANADA

Le commissaire à la protection de la vie privée du Canada a pour mandat de surveiller le respect de la LPRP et de la LPRPDE. De plus, le commissariat à la protection de la vie privée a pour mission « de protéger et de promouvoir le droit des personnes à la vie privée ». Ainsi, il s’agit d’une organisation dédiée principalement au contrôle des lois fédérales en matière de protection de renseignements personnels. Dans le cadre de son mandat, le commissaire à la protection de la vie privée mène les activités suivantes : • examiner les plaintes et publier des rapports contenant des recommandations adressées aux institutions fédérales et à des organisations du secteur privé pour remédier à des situations, s’il y a lieu; • intenter des poursuites devant la Cour fédérale lorsque les questions ne sont toujours pas réglées; • évaluer le respect des obligations énoncées dans la Loi sur la protection des renseignements personnels et la LPRPDE en menant des activités indépendantes de vérification et d’examen, et en en publiant les

conclusions; • examiner les évaluations des facteurs relatifs à la vie privée (ÉFVP) des initiatives gouvernementales nouvelles et existantes et donner des conseils en la matière; • fournir des analyses juridiques et stratégiques et l’expertise nécessaire pour guider le Parlement dans son examen des lois en constante évolution afin d'assurer le respect du droit des personnes à la protection

de la vie privée; • répondre aux demandes des parlementaires, des Canadiennes et des Canadiens et des organisations qui veulent obtenir des renseignements et des directives et prendre les mesures proactives nécessaires pour

informer ceux-là des questions émergentes concernant la protection de la vie privée; • promouvoir la sensibilisation du grand public et le respect des lois, favoriser la compréhension des droits et obligations en matière de protection de la vie privée par l'entremise de la participation proactive

des institutions fédérales, des associations industrielles, de la communauté juridique, des universitaires, des associations professionnelles et d’autres intervenants; préparer et publier des documents d’information publique, des positions sur les lois nouvelles, les règlements et les politiques, des documents d’orientation et les conclusions de recherche que pourront utiliser le grand public, les institutions fédérales et les organisations du secteur privé;

• fournir des opinions juridiques et entamer des poursuites pour faire avancer l’interprétation et l’application des lois fédérales sur la protection des renseignements personnels; • surveiller les tendances relatives aux pratiques en matière de protection de la vie privée, repérer les enjeux systémiques en la matière qui doivent être abordés par les institutions fédérales et les organisations

du secteur privé et promouvoir l’intégration des pratiques exemplaires; • travailler en collaboration avec les intervenants œuvrant dans le domaine de la protection de la vie privée dans les provinces et territoires au Canada ainsi que sur la scène internationale pour aborder les

enjeux internationaux relatifs à la protection de la vie privée qui résultent de la circulation transfrontalière de plus en plus grande des données . Finalement, depuis quelques années, le commissaire à la protection de la vie privée a de nouvelles responsabilités en ce qui a trait à Loi canadienne anti-pourriel (LCAP). La LCAP été adoptée en décembre 2010 et elle est entrée en vigueur le 1er juillet 2014, à l’exception des dispositions visant l’installation non sollicitée de programmes d’ordinateur ou de logiciels, qui sont entrées en vigueur le 15 janvier 2015. La LCAP interdit notamment d’envoyer des messages électroniques commerciaux sans le consentement des destinataires, y compris des messages envoyés à des adresses électroniques, à des comptes de réseaux sociaux et des messages textes à des cellulaires. Le commissaire à la protection de la vie privée partage les responsabilités relatives à la LCAP avec le Conseil de la radiodiffusion et des télécommunications canadiennes et le Bureau de la concurrence du Canada. Précisément, les responsabilités du Commissariat à la protection de la vie privée se concentrent sur deux types d’infraction prévus dans la LCAP : • la collecte d’adresses électroniques, selon laquelle des listes en vrac d’adresses électroniques sont compilées par divers mécanismes, dont des programmes informatiques qui fouillent de façon automatique

Internet pour y trouver des adresses; • la collecte de renseignements personnels en accédant aux systèmes informatiques d’autres personnes de manière illicite, principalement au moyen de logiciels espions.

CÔTE D’IVOIRE

L’ARTCI exerce trois types d’attribution: - l’information et la sensibilisation des populations et des responsables de traitement sur leurs droits et obligations; - la réception des demandes et l’octroi des récépissés de déclaration et la délivrance des autorisations pour le traitement des données à caractère personnel; - le contrôle proactif du respect des dispositions légales en matière de protection des données à caractère personnel, la réception des réclamations et des plaintes des personnes concernées, et la sanction, le cas échéant, du non-respect de la loi. Née de la fusion du Conseil des Télécommunications de Côte d’Ivoire (CTCI) et de l’Agence des Télécommunications de Côte d’Ivoire (ATCI), l'Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI) n’est pas uniquement dédiée à la protection des données à caractère personnel. Elle exerce d’autres missions notamment celle de la régulation des télécommunications, qui est sa fonction première.

FRANCE La CNIL accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits. Elle analyse l’impact des innovations technologiques et des usages émergents sur la vie privée et les libertés. Enfin, elle travaille en étroite collaboration avec ses homologues européens et internationaux pour élaborer une régulation harmonisée.

21

Elle n’agit pas dans d’autres domaines.

GABON

Missions de la Commission : La Commission Nationale pour la Protection des Données à Caractère Personnel a pour but de lutter contre les atteintes à l’identité humaine, aux droits de l’homme, à la vie privée, aux libertés individuelles ou publiques susceptibles d’être engendrées par la collecte, le traitement, la transmission, le stockage et l’usage des données personnelles des citoyens. La Commission veille à l’application de la Loi en la matière et n’a pas d’autres compétences en dehors de la mission ainsi décrite.

MALI

L’Autorité de Protection des Données à Caractère Personnel a pour mission d’assurer la Protection des Données à Caractère Personnel et de Participer à la Réglementation du Secteur. A ce titre, elle est chargée de : – Fixer les normes et finalités de la collecte , du traitement ou de la conservation des données personnelles – Donner l’autorisation préalable sous forme d’agrément à toute interconnections de données – Autoriser le transfert de données – Informer et conseiller les personnes concernées et les responsables du traitement de données leurs droits et obligations – S’assurer que les traitements ne puissent comporter de menaces à l’égard des données relatives à la vie privée ; – Recevoir les réclamations relatives à la mise en œuvre des traitements des données à caractères personnel ; – Procéder aux contrôles nécessaires du traitement régulier des données à caractère personnel – Infliger des sanctions administratives à l’égard de tout responsable de traitement en cas de manquement à ses obligations – Saisir sans délai le Procureur de la République compétent des infractions dont elle a connaissance sur la manipulation frauduleuse de données à caractère personnel – Tenir le répertoire des traitements des données à caractère personnel à la disposition du public – Donner son avis sur tout projet de loi ou de décret relatif à la protection des données à caractère personnel – Demander au gouvernement de procéder à toute modification nécessaire des textes, ou de prendre, le cas échéant, tout nouveau texte nécessaire à la saine protection des données à caractère personnel

QUEBEC Le Rapport annuel de gestion 2013-2014 produit par la Commission présente sa double mission de la façon qui suit : La mission de la Commission d’accès à l’information consiste à promouvoir l’accès aux documents des organismes publics et la protection des renseignements personnels dans les secteurs public et privé, en assurer la surveillance et décider des demandes de révision et d’examen de mésentente qui lui sont présentées.

ROUMANIE

ANCTDCP a pour but la protection des droits et des libertés fondamentales des personnes physiques, notamment du droit à la vie intime, familiale et privée par rapport au traitement des données à caractère personnel et leur libre circulation. Elle surveille et contrôle le respect de la légalité du traitement des données à caractère personnel.

SENEGAL La Commission Nationale de Protection des Données Personnelles a pour principales missions de sensibiliser tous les acteurs sur les enjeux de protection des données personnelles, de protéger le citoyen contre les abus, de conseiller les pouvoirs publics, de contrôler les traitements en cours et de sanctionner les manquements à la législation en vigueur.

SUISSE

Le préposé fédéral à la protection des données et à la transparence (PFPDT) accomplit notamment les tâches suivantes : • surveillance des organes fédéraux • surveillance des personnes privées • conseil aux personnes privées • Soutien et conseil aux organes fédéraux et cantonaux • avis sur les projets législatifs de la Confédération • collaboration avec les organes de protection des données nationaux et internationaux • information du public • tenue et publication du registre des fichiers

TUNISIE

L’instance INPDCP est chargée en vertu de la loi n°2004-63 des missions suivantes: - Accorder les autorisations, recevoir les déclarations pour la mise en œuvre du traitement des données à caractère personnel, ou les retirer dans les cas prévus par la loi ; - Recevoir les plaintes portées dans le cadre de la compétence qui lui est attribuée en vertu de la loi ; - Déterminer les garanties indispensables et les mesures appropriées pour la protection des données à caractère personnel ; - Accéder aux données à caractère personnel faisant l'objet d'un traitement afin de procéder à leur vérification, et collecter les renseignements indispensables à l'exécution de ses missions ; - Donner son avis sur tout sujet en relation avec les dispositions de la loi ; - Elaborer des règles de conduite relatives au traitement des données à caractère personnel ; - Participer aux activités de recherche, de formation et d'étude en rapport avec la protection des données à caractère personnel, et d'une manière générale à toute activité ayant un rapport avec son domaine d'intervention. L'instance peut procéder aux investigations requises en recueillant les déclarations de toute personne dont l'audition est jugée utile et en ordonnant de procéder à des constatations dans les locaux et lieux où a eu lieu le traitement à l'exception des locaux d'habitation.

3. b. 2- Cette autorité a-t-elle : Un pouvoir réglementaire ? Un pouvoir de contrôle ? Un pouvoir de sanction ? (si OUI, donner un exemple pour chacun)

22

ANDORRE

L’APDA ne dispose pas de pouvoir réglementaire mais peut proposer les améliorations des normes de protection des données personnelles qu’elle considère pertinentes. L’APDA dispose d’une compétence d’inspection. L’inspection peut être engagée par l’APDA à sa propre initiative ou à la demande de toute personne intéressée qui considère soit que ses droits ont été affectés soit qu’un responsable de traitement n’a pas respecté les obligations établies dans la loi de protection des données. L’APDA dispose de la capacité d’imposer les sanctions prévues par la loi de protection des données. Le non-respect de la loi est objet de sanction administrative. Le premier non-respect par un responsable de fichier est sanctionné par une amende d’un montant maximal de 50.000 €. Les non respects suivants par un montant maximal de 100 000 €. Le montant de la sanction est fixé par l’APDA en tenant compte les circonstances concrètes de l’infraction, la gravité du non-respect, le nombre de personnes affectées, les préjudices causés et la récidive

BELGIQUE

En cas de difficultés rencontrées dans l’exercice de droits consacrés par la loi ou en cas de non-respect d’obligations découlant de la loi, la personne concernée peut adresser une plainte à la Commission vie privée. Cette Commission intervient pour amener le responsable du traitement à respecter les obligations que lui impose la loi. Elle s’efforce de résoudre les litiges à l’amiable. En cas d’insuccès, la Commission vie privée émet un avis sur le caractère fondé de la plainte. Si elle constate une infraction, elle la dénonce au procureur du Roi. Le président de la Commission vie privée peut aussi soumettre au tribunal de première instance tout litige concernant l’application de la loi vie privée. Par conséquent, la Commission vie privée a bien un pouvoir de contrôle, mais ni un pouvoir réglementaire, ni un pouvoir de sanction.

CANADA

Le commissaire à la protection de la vie privée n’a pas de pouvoir règlementaire, ni de pouvoir de contrôle, ni de pouvoir de sanction. Le commissaire à la protection de la vie privée est basé sur un modèle d’ombudsman. Celui-ci reçoit des plaintes et procède à des enquêtes en vertu de la LPRP et la LPRPDE. Basé sur un modèle d’ombudsman, ce dernier tente de régler les plaintes en misant sur la persuasion et la conciliation. La LPRP et la LPRPDE lois prévoient principalement des pouvoirs d’enquêtes et de recommandation pour le commissaire à la protection de la vie privée. A. La Loi sur la protection des renseignements personnels En vertu de la LPRP, tout individu peut déposer une plainte auprès du commissaire à la protection de la vie privée . Ce dernier peut également prendre l’initiative d’une plainte. Ainsi, le commissaire à la protection de la vie privée fait enquête sur les plaintes reçues et ses enquêtes sont secrètes. Étant basé sur un modèle d’ombudsman, le commissaire essaie de régler les plaintes qu’il reçoit par la persuasion et la négociation. Néanmoins, le commissaire possède des pouvoirs d’enquête plus contraignants. Notamment, il a le pouvoir d’assigner et de contraindre des témoins à comparaître devant lui, faire prêter serment et de pénétrer dans les locaux occupés par une institution fédérale . À la fin d’une enquête, lorsque le commissaire conclut au bien-fondé d’une plainte, celui-ci adresse un rapport au responsable de l’institution. Ce rapport présente les conclusions de son enquête et ses recommandations. Le commissaire peut également demander au responsable de l’institution fédérale de lui donner avis, dans un délai déterminé, des mesures prises ou envisagées pour la mise en œuvre de ses recommandations ou les motifs invoqués pour ne pas y donner suite . Lorsqu’il y a refus par l’institution fédérale de communiquer les renseignements personnels demandés, le commissaire, peut, à l’issue de son enquête, exercer un recours en révision de ce refus devant la Cour fédérale, lorsque l’individu qui avait demandé les renseignements y consent. Si la Cour fédérale conclut que le refus de l’institution fédérale n’était pas fondé sur des motifs raisonnables, la Cour peut ordonner à l’institution fédérale la communication des renseignements à l’individu qui en avait fait la demande . B. La Loi sur la protection des renseignements personnels et les documents électroniques En vertu de la LPRPDE, tout intéressé peut déposer auprès du commissaire une plainte. Le commissaire à la protection de la vie privée a le pouvoir de recevoir les plaintes au sujet de tout aspect de la conformité d’une organisation aux dispositions législatives sur la protection des données et d’enquêter sur ces plaintes. Le commissaire peut également prendre l’initiative d’une plainte . Étant basé sur un modèle d’ombudsman, le commissaire essaie de régler les plaintes qu’il reçoit par la persuasion et la négociation. La LPRPDE mentionne que celui-ci peut tenter de parvenir au règlement d’une plainte en ayant recours à un mode de règlement des différends tels que la médiation ou la conciliation . Néanmoins, il est investi de pouvoirs d’enquête plus contraignants tels que les pouvoirs d’assigner et contraindre des témoins à comparaître devant lui, de faire prêter serment et de visiter, à toute heure convenable, tout local (autre qu’une maison d’habitation) occupé par l’organisation visée par une enquête . À la fin d’une enquête, le commissaire à la protection de la vie privée dresse un rapport présentant ses conclusions. Le commissaire a également le pouvoir de formuler des recommandations. Son rapport peut demander à l’organisation visée par l’enquête de lui donner, dans un délai déterminé, des mesures prises ou envisagées pour la mise en œuvre des recommandations ou des motifs pour ne pas y donner suite . Après avoir dressé son rapport, le commissaire a la possibilité s’adresser à la Cour fédérale et peut lui demander, notamment, de rendre une ordonnance afin que l’organisation se conforme à la LPRPDE et d’accorder au plaignant des dommages-intérêts . Les pouvoirs suivants sont également conférés au commissaire : • procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels ; • rendre publique toute information relative aux pratiques d’une organisation en matière de gestion des renseignements personnels, s’il estime que cela est dans l’intérêt public ; • conclure une entente avec tout homologue provincial en vue de coordonner les activités de leurs bureaux respectifs ; • effectuer des recherches et en publier les résultats, et élaborer des contrats types portant sur la protection des renseignements personnels recueillis, utilisés ou communiqués d’une province à l’autre ou d’un pays à l’autre ; • mettre au point à l’intention du grand public des programmes d’information afin qu’il comprenne mieux les dispositions de la LPRPDE.

CÔTE D’IVOIRE

� Pouvoir règlementaire : L’ARTCI dispose d’un pouvoir réglementaire dont l’étendue et le mode d’exercice sont précisés. A ce titre elle est chargée de faire appliquer les lois et les règlements régissant le secteur des Télécommunications/TIC

� Pouvoir de contrôle : L'Autorité de Régulation des Télécommunications/TIC exerce un contrôle sur les tarifs d’itinérance internationale. A cet effet, elle : - enquête sur les prix d’itinérance pratiqués dans l’espace communautaire; - procède à des consultations avec les acteurs concernés en vue d’arriver à des tarifs raisonnables permettant à un maximum d’itinérants dans la région de pouvoir utiliser les réseaux

23

aux meilleurs prix et qualité; - identifie les opérateurs pratiquant des tarifs abusifs et demande l’avis de l’autorité en charge de la concurrence; 24 - permet aux abonnés des services prépayés de bénéficier du service d’itinérance à des tarifs raisonnables; - informe clairement et de façon transparente et détaillée les clients des tarifs appliqués pour l’itinérance; - tire des enseignements de la pratique tarifaire internationale.

� Pouvoir de sanction : L’ARTCI prononce des sanctions administratives et pécuniaires à l’égard des responsables de traitement qui ne se conforment pas aux dispositions de la loi sur la protection des données à caractère personnel notamment un avertissement à l’égard du responsable du traitement qui ne respecte pas les obligations découlant de la présente loi ; une mise en demeure de faire cesser les manquements observés dans le délai qu’elle fixe

FRANCE

La CNIL a 4 missions principales : 1. Informer / protéger La CNIL informe les particuliers et les professionnels et répond à leurs demandes. Elle met à leur disposition des outils pratiques et pédagogiques et intervient très régulièrement pour animer des actions de formation et de sensibilisation, notamment dans le cadre de l’éducation au numérique. Toute personne peut s'adresser à la CNIL en cas de difficulté dans l'exercice de ses droits. 2. Accompagner /conseiller La régulation des données personnelles passe par différents instruments qui poursuivent tous un objectif de mise en conformité des organismes : avis sur des projets de loi ou de décret, autorisation pour les traitements les plus sensibles, recommandations fixant une doctrine, cadres juridiques simplifiant les formalités préalables, réponse à des demandes de conseils. La CNIL propose également une boîte à outils aux organismes qui souhaitent aller plus loin dans leur démarche de conformité : correspondants informatique et libertés (CIL), labels, packs de conformité (référentiels sectoriels), BCR (Binding Corporate Rules) qui encadrent les transferts de multinationales hors de l’Union Européenne. 3. Contrôler et sanctionner Le contrôle sur place ou en ligne permet à la CNIL de vérifier la mise en œuvre concrète de la loi. La CNIL est également compétente pour contrôler les systèmes de vidéoprotection. Lors d’un contrôle sur place, la CNIL peut accéder à tous les locaux professionnels, demander communication de tout document nécessaire et en prendre copie, recueillir tout renseignement utile, accéder aux programmes informatiques et aux données. A l'issue des contrôles, le Président de la CNIL peut décider des mises en demeure. La formation restreinte de la CNIL, composée de 5 membres et d'un Président distinct du Président de la CNIL, peut prononcer diverses sanctions. Dans l'hypothèse où le Président de la CNIL a, au préalable, prononcé une mise en demeure, et que le responsable de traitement ne s'y est pas conformé, la formation restreinte peut prononcer, à l'issue d'une procédure contradictoire : Une sanction pécuniaire (sauf pour les traitements de l’État) d’un montant maximal de 150.000€, et, en cas de récidive, jusqu’à 300.000 €. Cette sanction peut être rendue publique ; la formation contentieuse peut également ordonner l'insertion de sa décision dans la presse, aux frais de l'organisme sanctionné. Le montant des amendes est perçu par le Trésor Public et non par la CNIL. Elle peut également enjoindre de cesser le traitement ou retirer l’autorisation accordée. En cas d’atteinte grave et immédiate aux droits et libertés, le président de la CNIL peut demander, par référé, à la juridiction compétente, d’ordonner toute mesure de sécurité nécessaire. Il peut également dénoncer au Procureur de la République les infractions à la loi informatique et libertés. 4. Anticiper Dans le cadre de son activité d’innovation et de prospective, la CNIL met en place une veille pour détecter et analyser les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie privée. Elle dispose d’un laboratoire lui permettant d’expérimenter des produits ou applications innovants. Elle contribue au développement de solutions technologiques protectrices de la vie privée en conseillant les entreprises le plus en amont possible, dans une logique de privacy by design. Pour renforcer sa réflexion, elle a créé un comité de la prospective faisant appel à des experts extérieurs qui la conseille pour élaborer un programme annuel d’études et d’explorations. Elle établit en outre un rapport annuel relatant ses activités et comprenant des analyses juridiques, un bilan détaillé de ses activités, les sujets de réflexion de l’année écoulée et un bilan financier et organisationnel. Ce rapport est librement consultable sur le site internet de l’Autorité.

GABON

La CNPDCP dispose d’un pouvoir règlementaire. A ce titre (article 34 de la loi) elle peut faire des recommandations et prendre des décisions. Elle exerce aussi un pouvoir de contrôle dans le cadre du traitement des données à caractère personnel (article 97 de la loi). Par ailleurs, elle a un pouvoir de sanction et peut par conséquent prononcer les sanctions administratives suivantes:

- l’avertissement ; - la mise en demeure ; - le retrait provisoire d’autorisation administrative délivrée aux opérateurs; - une amende pécuniaire ; - l’interdiction de la mise en œuvre ; - le verrouillage de certaines données ; - l’interdiction temporaire ou définitive d’un traitement (articles 101-103 de la loi n°1/2011 précitée).

MALI : L’Autorité a les trois pouvoirs : règlementaire, de contrôle et de sanction.

24

QUEBEC

Pouvoir réglementaire Les articles 110.1 et 137.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels donnent à la Commission d’accès à l’information un pouvoir d’édicter des règlements en matière de régie interne, de déontologie, de preuve et de procédure. En 2006, le Code de déontologie des membres de la Commission (qui a valeur de règlement) a été adopté. Pouvoir de contrôle La Direction de la surveillance est chapeautée par au moins un commissaire. Elle intervient lorsque les citoyens se plaignent du non-respect de leurs données personnelles dans les secteurs public et privé. L’un des membres du personnel de la Commission peut se voir confier un mandat d’enquête. Il dispose dans ce cas des pouvoirs qui sont dévolus à un commissaire nommé selon la Loi sur les commissions d’enquête (sauf le pouvoir d’ordonner l’emprisonnement). Ce professionnel peut exiger notamment d’avoir accès à tous les renseignements qui sont nécessaires pour faire la lumière sur le présumé problème. Au terme de l’enquête, un membre de la Commission (et juge administratif) se saisit du rapport. Il sollicite les vues des parties en cause avant de rendre une décision qui est exécutoire et contraignante. Pouvoir de sanction Le chapitre VII de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (art. 158 à 194) traite des infractions à la Loi. L’article 164 donne à la Commission le pouvoir d’intenter une poursuite pénale pour sanctionner le non-respect de l’une de ses dispositions.

ROUMANIE

OUI. Le pouvoir réglementaire: o autorise le traitement des données dans les conditions prévus par la loi; o rédige des propositions de lois ou d’amendements à la législation en vigueur relative au traitement des données à caractère personnel; o tient et met à la disposition du publique le registre d’enregistrement des traitements des données à caractère personnel. Le pouvoir de contrôle: o coordonne et contrôle, aux fins de la licéité, les traitements des données à caractère personnel qui font l’objet de la Loi 677/2001. o peut investiguer, d’office ou à la réception d’une plainte, toute violation des droits et des libertés fondamentaux des personnes concernées et le respect des obligations juridiques incombant aux responsables du traitement de données; o émet des recommandations et des avis sur toute question visant la sauvegarde des libertés et des droits fondamentaux à l’égard du traitement des données personnelles à la demande de toute personne, des autorités publiques et des organes de l’administration publique. C’est important à mentionner qu’en vertu de la Loi, le secret d’Etat et le secret professionnel ne peuvent pas être invoqués pour empêcher l’ANCTDCP de remplir ses attributions. Le pouvoir de sanction: o dispose, en cas de violation de la loi, la suspension provisoire ou la cessation du traitement des données, l’effacement, partial ou total des données traitées et la saisie des organes judiciaires; o constate les contraventions et applique des sanctions en conformité avec la Loi portant régime juridique des contraventions.

SENEGAL

Non Oui, elle reçoit les réclamations, les pétitions et les plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et informe Ieurs auteurs des suites données à celles-ci. Depuis son installation, la Commission Nationale de Protection des Données Personnelles a reçu vingt-huit(28) plaintes, dont six(06) liées à des photos ou vidéos publiées sur les réseaux sociaux ; le reste concerne des affaires de vidéo surveillance ou d’installation de système biométrique à l’insu des employés dans une entreprise.

SUISSE Le préposé fédéral à la protection des données et à la transparence (PFPDT) a un pouvoir de contrôle. Il peut examiner les traitements de données des privées et des organes fédéraux. Il n’a pas de pouvoir de sanction, il peut juste émettre des recommandations.

TUNISIE

L’instance est une autorité de contrôle et de régulation L’instance doit informer le procureur de la République territorialement compétent de toutes les infractions dont elle a eu connaissance dans le cadre de son travail. (La loi prévoit des sanctions (emprisonnement et amendes)). Le secret professionnel ne peut être opposé à l'instance.

3. b. 3- S’agit-il d’une autorité indépendante ? Quel est son statut ? Reçoit-elle des instructions ?

ANDORRE

OUI. L’APDA est un établissement de droit public, ayant une personnalité juridique propre, indépendant des administrations publiques et doté de la pleine capacité pour agir. L’APDA n’a aucune forme de dépendance hiérarchique. Le chef de l’APDA remplit ses fonctions en toute indépendance, neutralité et objectivité, sans être soumis à aucune obligation impérative ni instruction.

BELGIQUE Il s’agit d’une autorité administrative indépendante. Comme son statut l’indique, il s’agit bien d’une autorité indépendante. Elle ne reçoit donc pas d’instruction. Ses membres prennent leurs décisions lors de séances des commissaires, organisées toutes les 3 semaines et préparées par son Secrétariat.

CANADA Le commissaire à la protection de la vie privée est un haut fonctionnaire du Parlement. À ce titre, le commissaire à la protection de la vie privée est indépendant du gouvernement et s’acquitte de fonctions de surveillance. Le commissaire rend des comptes directement au Parlement canadien plutôt qu’au gouvernement ou à un ministre du gouvernement fédéral.

CÔTE D’IVOIRE

- L’ARTCI est une autorité administrative indépendante dotée de la personnalité juridique et de l’autonomie financière. Les missions de régulation sont exercées par l’ARTCI de façon indépendante, impartiale et transparente.

25

- Dans l’exercice de leurs attributions, les membres de l’Autorité ne reçoivent d’instruction d’aucune autre autorité. Elle présente chaque année au Président de la République un rapport rendant compte de l’exercice de sa mission.

FRANCE Il s’agit d’une autorité administrative indépendante (AAI). Cette indépendance est garantie par sa composition et son organisation. En outre, un régime d’inamovibilité et d’incompatibilité frappe ses membres. Les AAI ne sont pas soumises aux pouvoirs hiérarchiques des ministères. Elles ne reçoivent d’eux ni ordres, ni consignes, ni conseils.

GABON La Commission Nationale Pour la Protection des Données à Caractère Personnel est une autorité administrative indépendante et autonome. Elle ne reçoit pas d’instructions et ne travaille que sous l’emprise de la loi qui fonde son existence et son fonctionnement. Elle a toutefois pour interface auprès du Gouvernement, le Ministère de l’Intérieur.

MALI C’est une Autorité indépendante.

QUEBEC La Commission d’accès à l’information constitue un organisme public et indépendant du gouvernement. Elle a un statut de tribunal administratif. La Loi ne donne pas à la ministre responsable de l’Accès à l’information et de la Réforme des institutions démocratiques le pouvoir de donner des instructions à la Commission. Certes, la ministre peut demander à la Commission de lui transmettre divers renseignements ou documents (art. 120).

ROUMANIE

L’ANCTDCP est une autorité publique autonome qui déploie ses activités en toute impartialité et indépendance par rapport à toute autre autorité de l’administration publique, ainsi que par rapport à toute autre personne physique ou personne morale de droit privé.

SENEGAL

Oui -Les membres de la Commission Nationale de Protection des Données Personnelles ont un mandat de quatre (4) ans renouvelable une (1) fois, ils sont inamovibles pendant la durée de Ieur mandat, il ne peut être mis fin aux fonctions de membres qu’en cas de démission ou d’un empêchement constaté par la commission dans les conditions prévues. Les membres de la commission jouissent d’une immunité totale pour les opinions émises dans l’exercice ou à l’occasion de l’exercice de leurs fonctions. - Elle ne reçoit d’instructions d’aucune autorité.

SUISSE Il s’agit d’une autorité indépendante qui ne reçoit pas d’instructions.

TUNISIE C’est une instance indépendante qui jouit de la personnalité morale et de l'autonomie financière. Son action reste totalement indépendante. L'Instance transmet un rapport annuel sur son activité au Président de la République

3. b. 4- Quel est le mode de désignation de ses membres ? La durée de leur mandat ? Dispose-t-elle d’une liberté de recrutement de ses collaborateurs ?

ANDORRE Les membres de l’APDA sont élus par le Parlement par majorité qualifiée aux deux tiers au premier tour de vote, et par majorité absolue, au second tour, pour un mandat de 4 ans renouvelable. L’APDA peut recruter des collaborateurs. Les places doivent être fournies moyennant une convocation publique et conformément aux principes d’égalité, de mérite et de capacité. Le régime applicable au personnel affecté à l’APDA est celui qui est établi par la réglementation en vigueur en matière de travail.

BELGIQUE

Elle est composée de 16 membres (un président, un vice-président, six membres effectifs, huit membres suppléants), tous désignés pour une période de 6 ans et élus par les membres de la Chambre des représentants. Le président et le vice-président sont les seuls à exercer leur fonction à temps plein, et le mandat de président est réservé à un magistrat. La Commission vie privée doit impérativement compter parmi ses membres un juriste, un informaticien et deux personnes pouvant justifier d’une expérience professionnelle dans le domaine de la gestion de données à caractère personnel. Elle est assistée par un secrétariat de 50 collaborateurs. Le cadre, le statut et le mode de recrutement de ce secrétariat sont déterminés par la Chambre de représentants sur proposition de la Commission. La liberté de recrutement des collaborateurs n’est donc pas entière.

CANADA Le commissaire à la protection de la vie privée est nommé par le gouverneur en conseil, par commission sous le grand sceau, après consultation du chef de chacun des partis reconnus au Sénat et à la Chambre des communes, suivie d’une approbation par résolution du Sénat et de la Chambre des communes. Le commissaire est nommé pour un mandat renouvelable d’une durée de sept ans. Daniel Therrien a été nommé commissaire à la protection de la vie privée du Canada à compter du 5 juin 2014.

CÔTE D’IVOIRE

Le Conseil de régulation est composé de sept membres, dont un président, nommés par décret pris en Conseil des Ministres, sur proposition du Ministre en charge des TIC pour un mandat de six ans non renouvelable. Les membres du Conseil de régulation sont choisis, en raison de leur probité, de leurs qualifications et compétences avérées dans les domaines des Technologies de l’Information et de la Communication, suite à une procédure transparente conduite sous la responsabilité du Ministre en charge des Télécommunications/TIC. L'ARTCI peut recruter des agents contractuels conformément au Code du travail. Elle peut employer des fonctionnaires et agents de l’Etat en position de détachement. Les membres du Conseil de régulation prêtent serment devant le Président de la Cour d’Appel, à l’exception des Magistrats.

FRANCE

*La CNIL est composée d’un Collège de 17 « commissaires ». 12 de ces 17 membres sont élus ou désignés par les assemblées ou les juridictions auxquelles ils appartiennent : - 4 parlementaires (2 députés, 2 sénateurs) - 2 membres du Conseil économique, social et environnemental - 6 représentants des hautes juridictions (2 conseillers d’État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes) 5 personnalités qualifiées désignées par le Président de l’Assemblée nationale (1 personnalité), le Président du Sénat (1 personnalité), en Conseil des Ministres (3 personnalités). *Le mandat des commissaires est de 5 ans ou, pour les parlementaires, d’une durée égale à leur mandat électif. *La CNIL élit son Président parmi ses membres ; elle ne reçoit d’instruction d’aucune autorité. *Les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à son action.

26

*Le Président de la CNIL recrute librement ses collaborateurs. *La CNIL comprend, outre ce collège de commissaires, environ 190 agents, répartis dans 5 directions et placés sous l’autorité d’un Secrétaire général.

GABON

La Commission est composée de quatorze (14) membres, à raison de neuf permanents et quatre non permanents. Mode de désignation : Les Commissaires Permanents sont désignés ainsi qu’il suit : - trois (3) personnalités désignées par le Président de la République, dont le Président de la Commission ; - un (1) magistrat Membre du Conseil d’Etat désigné sur proposition du Président du Conseil d’Etat ; - un (1) magistrat de la Cour de cassation désigné sur proposition du Président de la Cour de cassation ; - un (1) avocat d’signé par l’ordre des avocats ; - un (1) médecin désigné par l’ordre des médecins ; - un (1) représentant des organisations de défense des droits de l’homme désigné par ses pairs ; - un (1) expert en technologie de l’information et de la communication désigné par le Ministre en Charge de l’Economie Numérique. S’agissant des Commissaires Non Permanents, ils sont désignés comme suit :

- un (1) député désigné par le Président de l’Assemblée Nationale ; - un (1) sénateur désigné par le Président du Sénat ; - un (1) Commissaire du Gouvernement désigné par le Premier Ministre ; - un (1) représentant du Patronat gabonais désigné par ses pairs.

Les Membres de la CNPDCP sont nommés par décret pris en Conseil des Ministres pour un mandat de 5 ans renouvelable une fois. La Commission dispose de la liberté de recruter ses collaborateurs. En effet, l’article 36 de la n°1/2011 stipule à cet égard que : « La Commission dispose d’un personnel pourvu par l’Etat et peut recruter des agents conformément aux dispositions du code du travail ».

MALI

L’Autorité comprend un organe délibérant collégial composée de (15) quinze membres désignés pour un mandat de (7) sept ans non renouvelable, ainsi qu’il suit : – Deux (2) personnalités qualifiées désignées par le Président de la République ; – Deux (2) Députés désignés par l’Assemblée Nationale à raison d’un Député pour la majorité et un Député pour l’opposition – Deux (2) Conseillers Nationaux désignée par le Haut Conseil des Collectivités Territoriales – Une (1) personnalité qualifiée désignée par le Ministre en charge de l’Etat Civil – Une (1) personnalité qualifiée désignée par le Ministre chargé de la Sécurité Intérieure – Une (1) personnalité qualifiée désignée par le Ministre chargé de l’Informatique – Deux (2) Magistrats dont UN (1) de l’Ordre Judiciaire et Un (1) de l’Ordre Administratif, désigné par la Cour Suprême, – Deux (2) Représentants qualifiés désignés par la Commission Nationale des Droits de l’Homme – Une (1) Représentant qualifié désigné par la Coordination des Associations et ONG Féminines ; – Une (1) Représentant qualifié désigné par le Conseil Nationale de la Société Civile

QUEBEC Les membres de la Commission sont nommés sur proposition du premier ministre, par résolution de l’Assemblée nationale approuvée par au moins les deux tiers des députés. Le mandat est de cinq ans avec possibilité de renouvellement (art. 104 et 105 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels). La Commission choisit les membres de son personnel. Ceux-ci font partie de la fonction publique du Québec (art. 111).

ROUMANIE

Le Président de l’ANCTDCP est nommé par le Sénat, pour un mandat de 5 ans, renouvelable une seule fois. Le Règlement d’organisation et de fonctionnement de l’ANCTDCP adopté en 2005, avec les modifications et les complétions ultérieures, prévoit que : o La structure organisationnelle de l’Autorité este avisée par le Bureau Permanent du Sénat; o Au sein de cette structure, le Président de l’ANCTDCP peut organiser des services, des bureaux, des commissions temporaires etc.; o Le Président de l’ANCTDCP nome et recrute le personnel; o Auprès du Président de l’ANCTDCP fonctionne une structure ayant un rôle consultatif - Le Conseil consultatif de l’Autorité. La composition et le fonctionnement du Conseil sont approuvés par le Président.

SENEGAL

La Commission Nationale de Protection des Données Personnelles est composée de onze(11) membres choisis en fonction de Ieurs compétences juridiques et ou techniques. Trois(3) par le Président de la République dont le Président ou la Présidente de la commission. Deux (2) par le Président de la Cour Suprême Un (1) par I ’ Assemblée Nationale Un (1) par l’ordre des avocats Un (1) par les Associations de défense des üroits de l'Homme Le Directeur général de I’ Agence de l’informatique de l’Etat, siége de plein droit. Un (1) représentant du secteur privé

27

Un (1) Commissaire du gouvernement La durée de leur mandat est de quatre(4) ans renouvelable une fois.

SUISSE Le ou la préposé(e) est nommé(e) par le Conseil fédéral et confirmé(e) par le Parlement. Son mandat dure 4 ans et peut être renouvelé.

TUNISIE

L'Instance est composée ainsi : - un président choisi parmi les personnalités compétentes dans le domaine ; - un membre choisi parmi les membres de la Chambre des Députés ; - un membre choisi parmi les membres de la Chambre des Conseillers; - un représentant du Premier ministère ; - deux magistrats de troisième grade ; - deux magistrats du tribunal administratif ; - un représentant du Ministère de l'Intérieur ; - un représentant du Ministère de la Défense Nationale ; - un représentant du Ministère chargé des Technologies de la Communication ; - un chercheur du Ministère chargé de la Recherche Scientifique ; - un médecin du Ministère chargé de la Santé Publique ; - un membre du Comité Supérieur des Droits de l'Homme et des Libertés Fondamentales ; - un membre choisi parmi les experts en matière de technologies de la communication ; Le président et les membres de l'Instance sont désignés, pour trois ans, par décret. A noter que l’Instance peut se faire assister, dans le cadre de ses missions, par les agents assermentés du ministère chargé des technologies de la communication pour effectuer des recherches et des expertises spécifiques, ou par des experts judiciaires, ou par toute personne jugeant utile sa participation.

3. b. 5- Dispose-t-elle d’un budget autonome de fonctionnement suffisant pour l’exercice de ses missions ? Quel est son montant ?

ANDORRE OUI. En ce qui concerne les ressources, l’APDA dispose des assignations annuelles établies dans la loi du budget de l’État. Le budget de l’APDA pour 2016 s’élève à 401.485 €. La Cour des Comptes exerce son rôle de surveillance envers l’APDA.

BELGIQUE Son budget 2014 s’élevait à 7.365.000 euros dont 65% de frais personnels (= 4.8000.000 euros). Les 35% restants (= 2.565.000 euros) du budget englobent, d’une part, la rétribution des membres de la Commission et des Comités sectoriels et d’autre part les moyens de fonctionnement réels (entretien du bâtiment, informatique, documentation,..).

CANADA Le Commissariat à la protection de la vie privée dispose d’un budget pour l’exercice de ses fonctions. Son budget est fixé par le gouvernement du Canada. Pour l’exercice 2016-2017, le budget principal des dépenses du Commissariat à la protection de la vie privée s’élève à 24,5 millions de dollars canadiens.

CÔTE D’IVOIRE

L’ARTCI est dotée de l’autonomie financière dans la gestion de ses activités.

FRANCE Oui, elle dispose d’un budget autonome voté chaque année par le Parlement. Son montant pour 2015 était de 18 298 779 euros.

GABON La commission dispose d’un budget autonome. Celui-ci était de l’ordre de 913.000 euro au titre de l’exercice 2015. Ce niveau de ressources est nettement insuffisant par rapport aux besoins de fonctionnement et à son plan d’action.

MALI L’Autorité dispose d’un budget autonome de 500 millions de Francs CFA insuffisants pour assurer ses missions.

QUEBEC Le budget de la Commission d’accès à l’information est voté par l’Assemblée nationale sur proposition du gouvernement. Pour l’année financière 2015-2016 (se terminant le 31 mars 2016) les crédits budgétaires votés par l’Assemblée sont de 5,9 millions de dollars.

ROUMANIE

Oui, l’Autorité rédige son projet de budget annuel qui est transmis au Ministère des Finances Publiques pour être inclu, à titre distinct, dans le Budget de l’État.

SENEGAL Oui - 200 millions de francs CFA SUISSE Il dispose d’un budget autonome. Pour l’an 2015 le budget s’est monté à 6 millions de francs suisses. TUNISIE Elle dispose d’un budget rattaché au ministère chargé des droits de l’homme mais son action reste autonome. Le montant est fixé annuellement dans le cadre de la loi des finances. 3. c- Existe-t-il un contrôle parlementaire des activités de cette autorité de protection des données ? Comment s’exerce-t-il ?

ANDORRE

OUI. Au Parlement, la Commission législative de l’intérieur est la commission chargée du control et le suivi de l’APDA. En conformité avec le Règlement du Parlement, cette commission peut requérir devant elle la présence des membres de l’APDA afin qu’ils informent des questions dont ils traitent, et peut aussi leur demander l’information et la documentation qu’elle considère nécessaire pour mener à terme sa tâche de control et suivi.

BELGIQUE L’article 24§6 de la loi du 8 décembre 1992 (modifié par la loi du 11 décembre 1998) précise bien que « le président [de la Commission vie privée] et les membres ne reçoivent d’instructions de personne. Ils ne peuvent être relevés de leur charge en raison des opinions qu’ils émettent ou des actes qu’ils accomplissent pour remplir leur fonction ». Les activités de la Commission vie privée ne sont donc pas contrôlées par

28

la Chambre des représentants. Cependant, à l’alinéa 4 de ce même article précise que « Les membres de la Commission peuvent être relevés de leur charge par la Chambre des représentants en cas de manquements à leurs devoirs ou d’atteinte à la dignité de leur fonction ». Il n’y a donc pas de contrôle du contenu du travail et des décisions des membres de la Commission vie privée, mais un simple contrôle du respect de devoirs liés à la fonction. Chaque année, la Commission vie privée rédige un rapport d’activités destiné à la fois aux parlementaires et à la fois au public. Il le remet à la Chambre des représentants et le présente en conférence de presse.

CANADA

Tel que mentionné précédemment, le commissaire rend des comptes directement au Parlement canadien plutôt qu’au gouvernement ou à un ministre du gouvernement fédéral. Ainsi, le commissaire à la protection de la vie privée du Canada présente au Parlement chaque année des rapports annuels sur l’application de la LPRP et de la LPRPDE. De plus, en vertu de la LPRP, il peut présenter des rapports spéciaux au Parlement à toute époque de l’année. De même, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes a le mandat d’étudier les questions relatives au Commissariat à la protection de la vie privée du Canada. Précisément, ce comité a pour mandat l'étude de l'efficacité, de l'administration et du fonctionnement du Commissaire à la protection de la vie privée ainsi que de ses plans opérationnels et de dépenses, et la présentation de rapports à ce sujet

CÔTE D’IVOIRE

Comme toutes les sociétés d’Etat, l’ARTCI peut faire l’objet d’un contrôle parlementaire dans le cadre de la mise en œuvre de la fonction de contrôle de l’action gouvernementale. Ce contrôle peut s’exercer sous forme de mission d’information parlementaire ou sous forme d’enquête en cas de malversation ou de mauvaise gestion constatée.

FRANCE NON GABON La Commission n’est pas astreinte au contrôle parlementaire de ses activités MALI Pour le moment, cette Autorité n’a pas fait l’objet de contrôle parlementaire.

QUEBEC

La Commission d’accès à l’information transmet chaque année à la ministre responsable de l’Accès à l’information et de la Réforme des institutions démocratiques un rapport sur ses activités (art. 118). Les articles 119 et 119.1 portent sur le dépôt et l’étude de ce rapport par une commission de l’Assemblée nationale : 119. Le rapport d'activités est déposé devant l'Assemblée nationale dans les trente jours de sa réception, si l'Assemblée est en session ou, si elle ne siège pas, dans les trente jours de l'ouverture de la session suivante ou de la reprise de ses travaux. 119.1. La commission de l'Assemblée nationale désigne, dans les meilleurs délais, la commission qui fera l'étude du rapport d'activités. La commission parlementaire désignée doit faire l'étude de ce rapport dans les 60 jours de son dépôt à l'Assemblée nationale À noter que la Commission d’accès à l’information transmet également au gouvernement tous les cinq ans un rapport sur l’application de la Loi sur la protection des renseignements personnels dans le secteur privé. Ce document fait l’objet d’un dépôt à l’Assemblée nationale et une commission parlementaire doit en faire l’étude dans l’année qui suit le dépôt (art. 88 et 89 de la Loi sur la protection des renseignements personnels dans le secteur privé).

ROUMANIE

Le Président de l’ANCTDCP présent un rapport annuel d’activité en séance plénière du Sénat.

SENEGAL Non

SUISSE Le PFPDT doit fournir chaque année un rapport d’activités au Conseil Fédéral et au Parlement. Comme toute autorité publique, le PFPDT peut être l’objet de contrôle du Parlement, notamment par l’intermédiaire des commissions de gestion ou des finances. Lien vers les rapports d’activités : http://www.edoeb.admin.ch/dokumentation/00153/index.html?lang=fr

TUNISIE Deux membres de l’instance sont des députes. L'Assemblée des Représentants du Peuple exerce sur l’instance un contrôle à l’occasion du vote de son budget. Une assemblée Plénière de l'Assemblée des Représentants du Peuple peut être consacrée au dialogue avec l’Instance, de même le président et les membres de l'instance peuvent être convoqués par les commissions parlementaires à participer à des auditions.

3.d- Cette autorité est-elle membre de l’Association francophone des autorités de protection des données personnelles (AFAPDP) ?

ANDORRE OUI. L’APDA est membre fondateur de l’AFAPDP. L’APDA est membre de l’AFAPDP depuis 2007, année de création de cette association.

BELGIQUE Oui CANADA Oui, le Commissariat à la protection de la vie privée du Canada est membre adhérent de l’Association francophone des autorités de protection des données personnelles. CÔTE D’IVOIRE

L’ARTCI est membre de l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP)

FRANCE Oui GABON La commission est membre de l’Association francophone des autorités de protection des données personnelles (AFAPDP). MALI L’Autorité a formulé une demande d’adhésion à l’AFAPDP. QUEBEC Oui ROUMANI Oui, l’ANCTDCP est membre de l’AFAPDP.

29

E De plus, au Sommet, tenu en octobre 2006 à Bucarest, en Roumanie, les chefs d’Etat et de gouvernement ont lancé un appel en faveur de l’élaboration d’un instrument international garantissant le droit des personnes à la protection des données à caractère personnel, tout en tenant compte des objectifs des pays francophones en matière de lutte contre la corruption et le crime transnational organisé.

SENEGAL Oui SUISSE Oui. TUNISIE Oui, la Tunisie est membre adhérent de l’AFAPDP Section 3 1. Votre pays a-t-il prévu de se doter d’une loi en matière de protection des données personnelles ?

VALEE D’AOSTE

En Italie, la normative en vigueur en matière de protection des données personnelles est le D.L. n° 196 du 30 juin 2003. Cette loi assure que le traitement des données personnelles est respectueux des droits et des libertés fondamentales de l'homme et est garantie de sa dignité, avec une référence particulière à la vie privée, à l'identité personnelle et au droit à la protection des données personnelles.

2. Quelle institution est chargée d’initier cette loi et dans quels délais est programmée son adoption

VALEE D’AOSTE

En Italie, la normative en vigueur en matière de protection des données personnelles est le D.L. n° 196 du 30 juin 2003, qui fait référence à la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des données personnelles, et à la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, relative au traitement des données. La loi a institué une Autorité nationale de Garantie pour la protection des données personnelles, qui est déjà installée.

30