L’Argentine ratifie la Convention 108+ sur la protection des données personnelles

Le 9 novembre 2022, le Congrès argentin a approuvé la Convention 108+, qui modifie la Convention 108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel n° 108. Bien que l’Argentine ait signé la Convention 108+ en 2019, sa ratification par le pouvoir législatif restait en suspens.

La Convention 108 est un traité international adopté en 1981 au sein du Conseil de l’Europe, partant de l’idée que la protection globale des données à caractère personnel ne serait efficace que si elle était établie par des normes internationales contraignantes. À ce jour, elle reste le seul instrument international obligatoire dans ce domaine. En vertu de l’article 23, la Convention est ouverte à l’adhésion d’États non membres du Conseil de l’Europe. L’Uruguay a été le premier pays non européen à adhérer à la Convention en août 2013. Dans la région, le Mexique a également adhéré en 2018, suivi par l’Argentine en 2019.

La Convention 108 vise à garantir les droits et libertés des individus concernant le traitement automatisé de leurs données personnelles.

Elle réglemente notamment des principes essentiels tels que la qualité des données (obtenir des données de manière transparente, à des fins légitimes et spécifiques, et ne pas les conserver plus longtemps que nécessaire pour atteindre ces objectifs), les droits des personnes concernées (connus sous le nom de droits « ARCO » : accès, rectification, annulation (ou suppression) et opposition), les normes de sécurité des bases de données et le régime régissant les flux de données transfrontaliers.

Elle établit également des catégories particulières de données, telles que celles qui révèlent l’origine raciale, les opinions politiques, les convictions religieuses ou autres, les données relatives à la santé, à la vie sexuelle ou aux condamnations pénales. Ces catégories ne peuvent faire l’objet d’un traitement automatisé que si des garanties juridiques adéquates sont fournies.

Enfin, un Comité consultatif permanent est chargé de présenter des propositions visant à faciliter et à améliorer la mise en œuvre de la Convention.

La Convention 108+, adoptée en mai 2018 et ouverte à la signature des pays intéressés en octobre de la même année, a deux objectifs principaux : relever les défis des nouvelles technologies et renforcer l’application effective de la Convention 108.

La convention 108+ constitue une mise à jour à plusieurs niveaux :

• Tout d’abord, elle actualise la terminologie : elle supprime la notion de « fichier », désormais obsolète, remplace le « responsable du traitement » par le terme plus précis de « sous-traitant » et ajoute des catégories essentielles comme le « processeur de données », c’est-à-dire celui qui traite les données selon les directives du responsable du traitement ;
• Elle exclut le traitement à des fins personnelles ou domestiques et élimine de manière significative la possibilité pour les États d’exempter des catégories spéciales de données, telles que celles liées à la défense et à la sécurité nationales ;
• Elle élargit la catégorie des données spéciales, y compris les données génétiques, biométriques, d’origine ethnique et d’appartenance syndicale ;
• Elle réaffirme les critères de qualité des données, détaille les informations à fournir lors de la collecte de données à caractère personnel et décrit les droits des personnes concernées, y compris certains droits plus récents, comme celui de ne pas faire l’objet de décisions fondées uniquement sur un traitement automatisé des données .

• Elle met à jour le régime des flux transfrontaliers de données afin de l’adapter aux transferts électroniques massifs qui ont lieu actuellement ;
• En ce qui concerne la sécurité, elle établit l’obligation de notifier à l’autorité de contrôle tout incident de sécurité susceptible d’interférer de manière significative avec les droits et libertés des personnes concernées ;
• Les responsables du traitement et les sous-traitants doivent non seulement adopter des mesures appropriées, mais aussi démontrer qu’ils respectent les obligations qui leur incombent en vertu de la Convention.

• Le contrôle de conformité s’étend également aux Etats, puisque le Comité consultatif peut évaluer l’efficacité des mesures adoptées par les Etats, en exigeant une contribution active de ces derniers dans ce processus d’évaluation ;
• Enfin, la Convention est ouverte non seulement aux États non européens, mais aussi aux organisations internationales ; en fait, l’adhésion de l’Union européenne est déjà prévue dans le nouveau texte.

L’adhésion à la Convention 108+ représente une avancée significative dans la reconnaissance et la protection des données personnelles et de l’autodétermination informationnelle en tant qu’éléments essentiels de la politique de l’État.

Comme d’autres pays de la région (le Brésil et l’Équateur en tête), l’Argentine a entamé un processus de revue de sa loi sur la protection des données, la loi 25.326, en s’inspirant largement des critères du GDPR européen. L’Agence d’accès à l’information publique a rédigé un avant-projet de loi qui, après avoir fait l’objet d’une consultation publique impliquant la participation de la société civile, est devenu un projet de loi dont le processus parlementaire devrait commencer prochainement (le texte du projet de loi peut être consulté via ce lien https://bit.ly/3GiA66n).

En outre, la ratification de la Convention aidera l’Argentine à conserver son statut de pays offrant un niveau de protection adéquat pour les transferts internationaux de données, qui, conformément au GDPR, doit être examiné par la Commission européenne au moins tous les quatre ans (cf. art. 45.3).