Gibson Dunn | Cybersécurité internationale et protection des données personnelles : perspectives et bilan – 2021

1er février 2021

Cliquez pour le PDF

Pour la troisième année consécutive, suite à la publication de la neuvième édition du rapport annuel de Gibson Dunn sur la cybersécurité et la protection des données aux États-Unis, Outlook and Review, à l’occasion de la Journée de la protection des données, nous proposons ce rapport international distinct.

Comme beaucoup d’autres années récentes, l’année 2020 a été marquée par des évolutions importantes dans le domaine de la protection des données et de la cybersécurité dans l’Union européenne (“UE”) :

  • Le 16 juillet 2020, la Cour de justice de l’UE (“CJEU“ou “Cour“) a invalidé comme juridiquement valable le bouclier de protection de la vie privée UE-USA, sur lequel certaines entreprises s’appuyaient pour transférer des données personnelles de l’UE vers les États-Unis. Alors que les entreprises se tournent vers d’autres cadres pour transférer des données personnelles, tels que les clauses contractuelles types (“SCCs“) et les règles d’entreprise contraignantes (“BCRs“), le droit européen oblige également ces entreprises à garantir la protection des données personnelles.
  • À la suite de la pandémie COVID-19, un certain nombre de pratiques du public, des entreprises et du lieu de travail sont apparues pour limiter la propagation du virus, qui ont toutes des répercussions sur la vie privée. Pour y faire face, de nombreux États membres de l’UE ont publié des règles et des lignes directrices concernant le traitement des données à caractère personnel dans le contexte de la pandémie.
  • Des négociations entre les États membres de l’UE sont en cours concernant l’adoption d’un nouveau règlement relatif à la protection de la vie privée dans le secteur des communications électroniques, qui doit remplacer la directive sur la protection de la vie privée dans le secteur des communications électroniques, qui aura bientôt 20 ans. Entre-temps, les autorités de contrôle de l’UE ont continué à publier des orientations sur les pratiques en matière de cookies et d’autres questions relatives à la vie privée en ligne, ainsi qu’à imposer de lourdes amendes aux entreprises qui enfreignent les exigences relatives aux cookies.
  • Avant l’achèvement de Brexit le 31 décembre 2020, l’UE et le Royaume-Uni ont adopté l’accord de commerce et de coopération, qui comprend un “mécanisme de transition” global de six mois pour couvrir les transferts de données à caractère personnel vers le Royaume-Uni. La Commission européenne et le Royaume-Uni sont en train de négocier l’adoption d’une décision d’adéquation qui peut permettre la libre circulation des données à caractère personnel au-delà de cette période de six mois, comme dans le scénario d’avant Brexit.

En plus de l’UE, des développements juridiques différents ont eu lieu dans d’autres juridictions du monde, notamment dans d’autres juridictions européennes, dans la région Asie-Pacifique, au Moyen-Orient, en Afrique et en Amérique latine.

Nous abordons ces sujets et bien d’autres encore dans le rapport de cette année intitulé “International Cybersecurity and Data Privacy Outlook and Review”.

__________________________________________

I. Union européenne

A. Transferts internationaux de données

1. Le site Schrems II Décision
2. Orientations adoptées par l’EDPB et les autorités des États membres
3. Conclusions sur les transferts de données

B. Pandémie de COVID-19

1. Orientations adoptées par les autorités de surveillance
2. Orientations au niveau des États membres de l’UE
3. Prochains défis pour la lutte contre la pandémie de COVID-19

C. Vie privée et cookies

1. Orientations adoptées par l’EDPB et les autorités des États membres
2. Réforme de la directive “Vie privée et communications électroniques
3. Mise en œuvre en ce qui concerne les cookies

D. Cybersécurité et violations des données

1. Orientations et initiatives adoptées par l’ENISA
2. Application de la législation en matière de cybersécurité

E. Le Royaume-Uni et Brexit 17

1. Transferts depuis et vers l’UE/EEE et le Royaume-Uni
2. Transferts depuis et vers le Royaume-Uni et d’autres juridictions

F. Autres développements importants dans l’UE

II. Développements dans d’autres juridictions européennes : Suisse, Turquie et Russie

A. Russie

1. Tendance à la restriction de l’accès dans l’application des lois sur la protection de la vie privée
2. L’autorité russe de protection des données a continué à cibler les grandes entreprises multinationales du secteur numérique
3. Mises à jour législatives

B. Suisse

1. Le PIDAA révisé
2. Le bouclier de protection de la vie privée entre la Suisse et les États-Unis

C. Turquie

1. L’autorité et le conseil turcs de protection des données publient un certain nombre de règlements, de décisions et de documents d’orientation
2. La loi turque sur la protection des données continue d’être appliquée

III. Évolution de la situation en Asie-Pacifique, au Moyen-Orient et en Afrique

A. Australie

B. Chine

1. Nouveaux développements dans la législation chinoise
2. Application de la législation chinoise en matière de protection des données et de cybersécurité

C. RAS de Hong Kong

D. Inde

1. Initiatives législatives
2. Avis et orientations réglementaires
3. Application des lois sur la protection des données

E. Indonésie

F. Israël

G. Japon

H. Malaisie

I. Singapour

J. Corée du Sud

K. Thaïlande

L. Émirats arabes unis

M. Autres développements en Afrique

N. Autres développements au Moyen-Orient

O. Autres développements en Asie du Sud-Est

IV. Évolution en Amérique latine et dans la zone des Caraïbes

A. Brésil

B. Autres développements en Amérique du Sud

1. Argentine
2. Chili
3. Colombie
4. Mexique
5. Uruguay

__________________________________________

A. Transferts internationaux de données

1. Le Schrems II Décision

Le 16 juillet 2020, la CJUE a annulé comme juridiquement non valide le Privacy Shield UE-USA, sur lequel certaines entreprises s’étaient appuyées pour transférer des données personnelles de l’UE vers les États-Unis. La Cour a également jugé que les clauses contractuelles types (“SCCs“) approuvé par la Commission européenne, un autre mécanisme utilisé par de nombreuses entreprises pour transférer des données personnelles en dehors de l’UE, est resté valable sous certaines réserves. La décision historique de la Cour a obligé les entreprises des deux côtés de l’Atlantique à réévaluer leurs mécanismes de transfert de données, ainsi que les lieux où elles stockent et traitent des données à caractère personnel.[1]

2. Orientations adoptées par l’EDPB et les autorités des États membres

Suite à la Schrems II plusieurs autorités de contrôle ont fait part de leurs points de vue et de leurs opinions sur son interprétation.[2] De son côté, le bureau du commissaire à l’information du Royaume-Uni (“ICO“) a invité les entreprises à poursuivre le transfert de données sur la base du bouclier de confidentialité invalidé et, au contraire, plusieurs autorités allemandes l’ont déconseillé.

Ces premières réactions ont été surmontées par les questions fréquemment posées (“FAQ”) rapport publié par le Conseil européen de la protection des données (“EDPB“) le 23 juillet 2020. Dans sa FAQ sur Schrems IIL’EDPB a déclaré, en particulier, ce qui suit :

i.

Aucun délai de “grâce” n’est accordé aux entités qui se sont appuyées sur le bouclier de protection de la vie privée entre l’UE et les États-Unis. Les entités qui s’appuient sur le Privacy Shield, désormais invalidé, doivent immédiatement mettre en place d’autres mécanismes ou cadres de transfert de données.

ii.

Les responsables du traitement qui s’appuient sur les CSC et les RCB pour transférer des données doivent contacter leur sous-traitant pour s’assurer que le niveau de protection requis par le droit de l’UE est respecté dans le pays tiers concerné. Si les données à caractère personnel ne sont pas suffisamment protégées dans l’État membre importateur, le responsable du traitement ou le sous-traitant responsable doit déterminer quelles mesures supplémentaires permettraient d’assurer un niveau de protection équivalent.

iii.

Si les données transférées ne peuvent bénéficier d’un niveau de protection essentiellement équivalent à celui garanti par le droit communautaire, les transferts de données doivent être immédiatement suspendus. Les entreprises qui souhaitent continuer à transférer des données dans ces circonstances doivent en informer la ou les autorités de contrôle compétentes.[3]

En octobre 2020, le ministère américain du commerce et la Commission européenne ont annoncé qu’ils avaient entamé des discussions pour évaluer la possibilité d’une nouvelle version du bouclier de protection de la vie privée qui serait conforme aux exigences de la Schrems II de l’État.[4]

En attendant les discussions entre l’UE et les États-Unis sur un nouveau cadre de transfert de données, le 10 novembre 2020, l’EDPB a publié de nouvelles orientations importantes sur le transfert de données personnelles en dehors de l’EEE, à savoir

i.

Recommandations 01/2020 sur les mesures qui complètent les outils de transfert pour assurer le respect du niveau de protection des données à caractère personnel dans l’UE,[5] qui visent à fournir une méthodologie aux exportateurs de données pour déterminer si et quelles mesures supplémentaires devraient être mises en place pour leurs transferts

ii.

Recommandations 02/2020 sur les garanties essentielles européennes (“GEE”) pour les mesures de surveillance,[6] qui visent à mettre à jour l’EEG, afin de fournir des éléments pour examiner si les mesures de surveillance permettant l’accès aux données à caractère personnel par les autorités publiques d’un pays destinataire, qu’il s’agisse d’agences de sécurité nationale ou d’autorités répressives, peuvent être considérées comme une ingérence justifiable.

Les orientations de l’EDPB ont réduit une partie de l’incertitude causée par la Schrems II de l’État. Toutefois, comme cette orientation a été publiée sous la forme d’une consultation publique se terminant le 21 décembre 2020, elle pourrait faire l’objet de nouveaux changements ou amendements.

Dans les Recommandations sur les outils de transfert supplémentaires, l’EDPB recommande aux exportateurs de données (i) de recenser tous les transferts de données à caractère personnel vers des pays tiers et de vérifier que les données transférées sont adéquates, pertinentes et limitées à ce qui est nécessaire ; (ii) de vérifier l’outil de transfert sur lequel les transferts sont basés ; (iii) d’évaluer si la législation ou les pratiques du pays tiers sont susceptibles d’affecter l’efficacité des garanties appropriées, et de documenter cette évaluation ; (iv) identifier et adopter des mesures supplémentaires (des exemples sont fournis à l’annexe 2 des recommandations) ; (v) prendre toute mesure procédurale formelle que l’adoption de la mesure supplémentaire peut nécessiter ; et (vi) réévaluer à intervalles appropriés le niveau de protection des données transférées. Bien que les orientations prennent la forme de recommandations non contraignantes, les entreprises qui transfèrent des données à caractère personnel en dehors de l’EEE seraient bien inspirées de revoir leur approche de ces transferts à la lumière des orientations de l’EDPB.

Le 12 novembre 2020, la Commission européenne a publié un projet de décision d’application sur les CSC pour le transfert de données personnelles vers des pays tiers ainsi qu’un projet de nouveaux CSC. Les nouveaux CSC comprennent plusieurs modules à utiliser par les entreprises, en fonction du scénario de transfert et de la désignation des parties dans le cadre du GDPR, à savoir (i) les transferts de contrôleur à contrôleur ; (ii) les transferts de contrôleur à processeur ; (iii) les transferts de processeur à processeur ; et (iv) les transferts de processeur à contrôleur.

Ces nouveaux CSC intègrent également certaines des mesures contractuelles supplémentaires recommandées par l’EDPB, comme décrit ci-dessus. Ils ont été ouverts à une consultation publique qui s’est terminée le 10 décembre 2020 et la nouvelle série finale de CSC devrait être adoptée au début de 2021. À ce stade, le projet prévoit une période de grâce d’un an pendant laquelle il sera possible de continuer à utiliser les anciens CSC pour l’exécution des contrats conclus avant l’entrée en vigueur des nouveaux CSC.[7]

Par ailleurs, la Commission européenne a également publié le 12 novembre 2020 un projet de CSC pour les contrats entre les contrôleurs et les transformateurs. Ces CSC sont destinés à être facultatifs (les parties peuvent choisir de continuer à utiliser leurs propres accords de traitement de données) et ont également été ouverts à la consultation publique qui s’est terminée le 10 décembre 2020. Le projet final de CSC devrait également être adopté au début de l’année 2021.[8]

Le 15 janvier 2021, le CEPD et le Contrôleur européen de la protection des données ont adopté des avis conjoints sur les deux séries de CSC (un avis sur les CSC pour les contrats entre les responsables du traitement et les sous-traitants, et un autre sur les CSC pour le transfert de données à caractère personnel vers des pays tiers).[9]

3. Conclusions sur les transferts de données

Comme expliqué ci-dessus, 2020 a été une année de changements en ce qui concerne les mécanismes de transfert de données.

Le bouclier de protection de la vie privée entre l’UE et les États-Unis, dont on pensait autrefois qu’il avait mis fin aux problèmes soulevés par la sphère de sécurité entre l’UE et les États-Unis, a de nouveau été jugé insuffisant pour sauvegarder les droits des personnes en matière de protection des données dans l’UE. Avec le changement de l’administration fédérale américaine et la nécessité pour les autorités de donner une sécurité juridique et de faciliter l’activité commerciale transfrontalière dans le contexte économique actuel, l’UE et les États-Unis devraient travailler rapidement à la mise en place d’un mécanisme permettant de résoudre une fois pour toutes les transferts transatlantiques.

L’adoption de nouveaux CSC, qui devrait intervenir en 2021, apportera également plus de certitude aux entreprises qui s’appuyaient sur ce cadre pour transférer des données à caractère personnel. Les nouveaux ensembles de CSC couvriront des scénarios plus larges que ceux du cadre actuel, ce qui réduira les coûts de mise en œuvre et limitera l’incertitude. Toutefois, compte tenu du délai de grâce limité qui devrait s’appliquer aux CSC antérieurs au PRDG et de l’introduction de modifications aux nouveaux CSC, les entreprises devraient saisir l’occasion de revoir le nouveau cadre contractuel et de l’adapter à leurs besoins en matière de transfert de données.

B. Pandémie COVID-19

La pandémie de COVID-19 et la crise sanitaire qui s’en est suivie ont entraîné l’émergence de nouvelles pratiques visant à limiter la propagation du virus, telles que l’émission d’applications de traçage et la mise en place de contrôles de température dans les bâtiments de l’administration publique ou sur le lieu de travail. Ces pratiques impliquent le traitement de diverses données sanitaires et peuvent donc avoir des implications sur la vie privée. D’autre part, le travail à distance a augmenté l’exposition des entreprises et de leurs employés aux risques de cybersécurité, tels que l’utilisation de biens privés (non protégés et non certifiés) pour examiner, imprimer ou traiter des informations de l’entreprise.[10]

1. Orientations adoptées par les autorités de surveillance

Le 19 mars 2020, l’EDPB a adopté une déclaration sur le traitement des données à caractère personnel dans le cadre de la COVID-19. Dans cette déclaration, l’EDPB a souligné que si les règles de protection des données ne doivent pas entraver la lutte contre le virus, les responsables du traitement des données et les sous-traitants doivent assurer la protection des données personnelles même en ces temps exceptionnels.[11]

En outre, le 17 avril 2020, la Commission européenne a défini les critères et les exigences auxquels les candidatures soutenant la lutte contre la COVID-19 doivent répondre afin de garantir la conformité avec les réglementations en matière de protection des données.[12] Sur la base de ces orientations, l’EDPB a adopté des lignes directrices sur la géolocalisation et d’autres outils de traçage dans le contexte de l’épidémie COVID-19 ainsi que des lignes directrices sur le traitement des données sanitaires à des fins de recherche dans le contexte de l’épidémie COVID-19.[13]

Depuis le début de la pandémie, les autorités européennes ont également mis l’accent sur la mise en commun des ressources au niveau de l’UE. La Commission européenne et l’EDPB ont publié des documents relatifs à l’interopérabilité entre les applications de recherche des contacts des États membres, afin que les utilisateurs puissent se fier à une seule application où qu’ils se trouvent dans l’UE.[14]

Le CEPD a également publié un avis préliminaire sur l’Espace européen des données sur la santé, qui vise à promouvoir un meilleur échange et un meilleur accès aux différents types de données sur la santé au sein de l’UE.[15]

2. Orientations au niveau des États membres de l’UE

Les autorités de contrôle des États membres ont également publié leurs propres orientations concernant le traitement des données à caractère personnel dans le contexte de la pandémie COVID-19. Bien que les autorités aient mis l’accent sur les principes généraux énoncés dans le GDPR, elles n’ont pas adopté une approche unifiée.

En ce qui concerne les applications nationales de recherche, l’ICO britannique a publié un avis sur l’initiative conjointe de deux sociétés technologiques visant à permettre l’utilisation de la technologie Bluetooth dans les applications de recherche par contact,[16] ainsi que sur le développement d’applications de recherche des contacts conformément aux principes de respect de la vie privée dès la conception et de respect de la vie privée par défaut.[17] En France, l’autorité de contrôle française (la “CNIL“) a ouvert et clôturé une enquête officielle sur l’application nationale de traçage parrainée et développée par le gouvernement français,[18] après avoir demandé au ministère des Solidarités et de la Santé de remédier à certains manquements identifiés dans l’application.[19] En Allemagne, comme en France, l’autorité a souligné que l’utilisation de l’application nationale COVID-19 devrait être volontaire.[20]

Dans un autre ordre d’idées, les autorités de contrôle sont également intervenues à des degrés divers dans les efforts de test et de traçage des autorités publiques. Au Royaume-Uni, par exemple, l’ICO a publié un avis sur l’enregistrement et la conservation des données à caractère personnel à l’appui du programme de test et de traçage, dans lequel il conseille notamment de ne collecter que les données demandées par le gouvernement, de ne pas réutiliser les données à d’autres fins et de supprimer les données dès qu’elles ne sont plus nécessaires.[21] En Allemagne, une autorité de surveillance régionale a même émis des avertissements en cas de demandes excessives en matière de santé.[22]

Les autorités de surveillance ont également publié des orientations importantes concernant les mesures de lutte contre la pandémie de COVID-19 dans un contexte d’emploi, par exemple au Royaume-Uni,[23] France,[24] Italie,[25] Belgique[26] et les Pays-Bas.[27] Les sujets couverts par les autorités de contrôle comprennent la mise en œuvre de tests et la surveillance des employés, la communication d’informations sensibles à l’employeur et, à son tour, la communication de ces informations aux autorités sanitaires, ainsi que le travail à distance.

L’utilisation de caméras intelligentes et thermiques a également été strictement réglementée en France et en Allemagne.[28]

3. Prochains défis pour la lutte contre la pandémie de COVID-19

Si les lois sur la protection des données n’étaient pas censées entraver le déploiement des mesures nécessaires pour tracer et contenir l’évolution du virus, les autorités de contrôle de l’UE ont tenu à ce que cela ne se fasse pas au détriment de la vie privée.

Les normes de protection de la vie privée resteront probablement élevées alors que les États membres commencent leurs plans de vaccination et se préparent à la reprise économique post-COVID-19. Par exemple, dans les États membres, le contrôle des doses et la surveillance médicale des patients sont généralement effectués par du personnel médical qualifié et des établissements de santé et pharmaceutiques. Toutefois, la question de savoir si les institutions privées et publiques peuvent délivrer ou demander des “passeports” ou des certificats de vaccination pour faciliter la circulation des personnes en toute sécurité fait encore l’objet d’un débat.[29] En ce qui concerne les données de traçage et de détection, les administrations publiques et les entreprises doivent évaluer les périodes de conservation appropriées qui s’appliquent au stockage et à l’archivage de ces informations.

C. Vie privée et cookies

Dans le cadre des discussions en cours au sein de l’UE sur le futur règlement relatif à la protection de la vie privée en ligne, des orientations ont été publiées par les autorités de surveillance des États membres. Dans l’intervalle, des amendes importantes continuent d’être infligées aux entreprises qui ne respectent pas les règles applicables en matière de vie privée en ligne.

1. Orientations adoptées par l’EDPB et les autorités des États membres

Le 5 avril 2020, l’EDPB a mis à jour ses lignes directrices (05/2020) sur le consentement, qui traitent désormais spécifiquement de la pratique des “murs de cookies” (une pratique qui consiste à subordonner l’accès aux services et fonctionnalités en ligne au consentement d’un utilisateur aux cookies). Entre autres, dans ces lignes directrices, l’EDPB indique explicitement que la poursuite de la navigation sur un site web ne répond pas aux exigences d’un consentement valable.[30]

Grâce aux clarifications supplémentaires fournies par l’EDPB, la Autorité de contrôle espagnole (“AEPD“) a mis à jour ses orientations sur l’utilisation des cookies, en refusant la validité du consentement obtenu par le biais des murs de cookies ou de la poursuite de la navigation.[31]

Dans FranceLa CNIL a adopté une approche différente de celle du tribunal administratif français qui, dans un arrêt de 2020, a invalidé l’interdiction générale et absolue des murs de biscuits. En conséquence, la CNIL a adopté des lignes directrices modificatives et une recommandation sur l’utilisation des cookies et autres dispositifs de traçage, offrant des exemples pratiques de collecte du consentement de l’utilisateur.[32]

2. Réforme de la directive “Vie privée et communications électroniques

Le règlement sur la vie privée en ligne a été proposé par la Commission européenne en 2017 afin d’actualiser les règles législatives applicables au traitement des données numériques et en ligne et d’aligner les lois sur la vie privée en ligne sur le GDPR. Ambitieux et prometteur dans un premier temps, huit présidences du Conseil de l’UE n’ont pas réussi à faire passer le projet sur la ligne d’arrivée.

En janvier 2021, la présidence portugaise du Conseil de l’UE (de janvier à juin 2021) a proposé une nouvelle version (la 14e) du règlement “Vie privée et communications électroniques”, dans le but de simplifier le texte et de l’aligner davantage sur le GDPR.[33]

Bien que le nouveau règlement ne soit pas censé être applicable avant 2022, son processus d’adoption devrait être suivi de près afin d’anticiper les efforts de mise en conformité qui seront nécessaires, en particulier compte tenu de la période de transition plus courte (de 24 à 12 mois) prévue dans la proposition de la présidence portugaise.

3. Application de la législation relative aux cookies

Parallèlement, les autorités de contrôle des États membres ont continué à appliquer leur législation nationale en matière de vie privée en ligne transposant la directive sur la vie privée en ligne.

Dans EspagneEn effet, un service de réseau social a été condamné à une amende de 30 000 euros pour avoir enfreint les règles relatives aux cookies, notamment parce que sa bannière de cookies ne permettait pas aux utilisateurs de refuser l’utilisation de trackers ou d’émettre un consentement par type de cookie.[34] De même, l’AEPD a imposé une amende du même montant à une compagnie aérienne pour avoir mis en place un “mur de cookies” sur son site web.[35]

Dans FranceEn outre, de lourdes amendes ont été infligées pour violation des dispositions légales sur les cookies. Tout d’abord, deux sociétés d’un groupe de distribution de produits alimentaires et de marchandises au détail ont été condamnées à des amendes de 2 250 000 et 800 000 euros pour diverses violations, notamment l’installation automatique de cookies sur les terminaux des utilisateurs.[36] Plus récemment, deux entreprises technologiques américaines se sont vu infliger des amendes de 100 millions d’euros et 35 millions d’euros, respectivement, en raison de la violation du cadre juridique applicable aux cookies. La CNIL a notamment constaté que ces sociétés plaçaient des cookies publicitaires sur les ordinateurs des utilisateurs sans obtenir de consentement préalable et sans fournir les informations adéquates.[37]

D. Cybersécurité et violations des données

Comme les années précédentes, les autorités de contrôle et les agences de cybersécurité de l’UE et des États membres ont continué à participer activement à l’adoption de mesures et de décisions qui renforcent et appliquent les normes de cybersécurité.

1. Orientations et initiatives adoptées par l’ENISA

L’Agence européenne pour la cybersécurité (“ENISA“) a pour mandat d’accroître la protection des réseaux et systèmes d’information publics et privés, de développer et d’améliorer la cyber-résistance et les capacités de réaction, et de développer des aptitudes et des compétences dans le domaine de la cybersécurité, y compris la gestion des données personnelles.

En 2020, l’ENISA a continué à publier des lignes directrices et à mener des initiatives pour atteindre ces objectifs :

  • Le 27 janvier 2020, l’ENISA a lancé une plateforme en ligne pour aider les entreprises à sécuriser le traitement des données personnelles. La plateforme se concentre notamment sur l’analyse des solutions techniques pour la mise en œuvre de la GDPR, y compris le principe de respect de la vie privée dès la conception. La plateforme peut aider les responsables du traitement des données et les sous-traitants à déterminer leur approche lors de l’élaboration de politiques de protection des données personnelles.[38]
  • Le 4 février 2020, l’ENISA a publié un rapport décrivant les cadres, les systèmes et les normes d’éventuels futurs systèmes européens de certification en matière de cybersécurité. Le rapport se concentre en particulier sur les normes actuelles appliquées à des domaines tels que l’internet des objets, les infrastructures et services en nuage, le secteur financier et les dossiers de santé électroniques. Le rapport aborde également les lacunes des systèmes actuels de certification en matière de cybersécurité, ouvrant ainsi la voie à l’adoption de futurs systèmes de certification en matière de cybersécurité dans l’UE.[39]
  • Le 19 mars 2020, l’ENISA a publié un rapport sur les exigences de sécurité pour les fournisseurs de services numériques et les opérateurs de services essentiels, basé sur la directive (UE) 2016/1148 du 6 juillet 2016 concernant des mesures pour un niveau commun élevé de sécurité des réseaux et des systèmes d’information dans l’Union (“NISD”) et le GDPR. Entre autres choses, le rapport propose et définit les grandes lignes d’une approche de la sécurité fondée sur les risques. Il identifie les lignes directrices pertinentes pour les mesures de sécurité de l’INSI et du GDPR, recommande la mise en place de mécanismes de certification, et établit la nécessité pour les organes et organismes de recherche compétents de l’UE de continuer à fournir des conseils spécialisés sur les techniques de pointe en matière de protection des données et de sécurité.[40]
  • Le 9 juin 2020, l’ENISA a mis à disposition un outil visuel pour assurer la transparence en ce qui concerne les incidents de cybersécurité. Cet outil fournit des informations sur huit années d’incidents de sécurité des télécommunications, ainsi que sur quatre années de rapports d’incidents des services de confiance. Au total, l’outil fournit des informations sur un total de 1 100 incidents de cybersécurité notifiés conformément à la législation de l’UE pendant plus de neuf ans. Dans sa publication, l’ENISA a noté qu’au cours des quatre dernières années, les pannes de système ont été la cause la plus fréquente des incidents de sécurité des télécommunications et des incidents liés aux services de confiance.[41]

Enfin, il convient de noter la stratégie pour une Europe de confiance et cyber-sécuritaire publiée par l’ENISA le 17 juillet 2020. Cette stratégie vise à atteindre un niveau commun élevé de cybersécurité dans toute l’UE, et contient les objectifs stratégiques de l’ENISA pour renforcer la cybersécurité, la préparation et la confiance dans toute l’UE. La stratégie établit une liste de sept objectifs qu’elle vise à atteindre, notamment la coopération efficace entre les acteurs opérationnels au sein de l’UE en cas d’incidents cybernétiques massifs, la création d’un niveau élevé de confiance dans les solutions numériques sécurisées, et la gestion efficace et effective des informations et des connaissances en matière de cybersécurité pour l’Europe.[42]

2. Application de la législation en matière de cybersécurité

Les autorités de contrôle des États membres ont été particulièrement actives pour sanctionner les violations de données et l’absence de mesures de sécurité appropriées, avec des sanctions pécuniaires importantes.

Par exemple, dans le ROYAUME-UNITrois sanctions ont été particulièrement significatives. Première,une compagnie aérienne a été condamnée à une amende de 20 millions de livres suite à une cyber-attaque en 2018, compromettant les données personnelles et financières de plus de 400 000 de ses clients pendant plus de deux mois.[43] Les enquêteurs de l’OIC ont constaté que la compagnie aérienne aurait dû identifier les faiblesses de sa sécurité et les résoudre avec les mesures de sécurité qui étaient disponibles à l’époque, ce qui aurait permis d’éviter la cyber-attaque.

DeuxièmeEn effet, une chaîne d’hôtels a été condamnée à une amende de 18,4 millions de livres sterling après qu’une cyberattaque survenue en 2014 ait touché environ 339 millions de clients dans le monde entier, mais n’a été détectée qu’en septembre 2018.[44] Selon l’OIC, l’enquête a révélé que la chaîne hôtelière n’avait pas mis en place les mesures techniques ou organisationnelles appropriées pour protéger les données personnelles traitées dans ses systèmes, comme l’exige la GDPR. Dans ces deux cas, l’OIC a considérablement réduit le montant de l’amende initialement envisagé dans sa notification d’intention d’infliger une amende aux entreprises, en tenant compte des représentations de l’entreprise et de l’impact économique de la pandémie COVID-19 pour fixer le montant final de l’amende.

Troisièmeune société de vente et de distribution de billets s’est vu infliger une amende de 1,25 million de livres sterling pour non-respect de ses obligations en matière de sécurité, dans le cadre d’une cyber-attaque sur un chatbot installé sur sa page de paiement en ligne, susceptible d’affecter les données de 9,4 millions de personnes.[45] L’OIC a conclu que la société n’avait pas évalué les risques liés à l’utilisation d’un chat-bot sur sa page de paiement, ni identifié et mis en œuvre les mesures de sécurité appropriées pour neutraliser les risques, ni identifié en temps utile la source de l’activité frauduleuse suggérée.

Dans Allemagneun fournisseur allemand de services de télécommunications a été condamné par l’autorité fédérale allemande de protection des données pour insuffisance des procédures de sécurité des données mises en place dans un centre d’appel, qui a conduit à la divulgation inappropriée du numéro de téléphone portable d’une personne qui a ensuite porté plainte auprès d’une autorité de protection des données. Alors que l’amende s’élevait initialement à 9,5 millions d’euros, elle a été contestée par le fournisseur de services de télécommunications, puis réduite à 900 000 euros par le tribunal de district compétent de Bonn.

Plus récemment, dans IrlandeEn effet, un service de réseau social s’est vu infliger une amende de 450 000 euros pour une violation de données datant de 2019. Cette décision revêt une grande importance, car elle représente le résultat de la première application du mécanisme de règlement des litiges de GDPR, où la Commission irlandaise de protection des données a adopté une décision suite à l’adoption d’une décision antérieure par l’EDPB.[46]

Le 30 juillet 2020, le Conseil de l’UE a imposé ses toutes premières sanctions sur les cyberattaques. En particulier, le Conseil a adopté des mesures restrictives à l’encontre de six personnes et trois entités responsables ou impliquées dans diverses cyberattaques, y compris une interdiction de voyager et un gel des avoirs. En outre, il est interdit aux personnes et entités de l’UE de mettre des fonds à leur disposition.[47]

E. Le Royaume-Uni et Brexit

Le Royaume-Uni a retrouvé une autonomie complète en matière de règles de protection des données à la fin de la période de transition de Brexit, le 31 décembre 2020. Toutefois, avant la conclusion de Brexit, l’UE et le Royaume-Uni ont conclu l’accord de commerce et de coopération UE-Royaume-Uni le 30 décembre 2020.[48] Cet accord réglemente les flux de données de l’UE/EEE vers le Royaume-Uni dans le cadre d’un “mécanisme de transition” et fixe un calendrier pour l’adoption ultérieure d’une décision d’adéquation UE-Royaume-Uni.

L’accord de commerce et de coopération comprend des mécanismes permettant au Royaume-Uni d’apporter des modifications à son régime de protection des données ou d’exercer des pouvoirs de transfert international, sous réserve d’un accord mutuel, sans affecter le mécanisme de liaison. L’UE n’a pas le pouvoir de bloquer les modifications apportées au cadre du Royaume-Uni ou l’utilisation de ses pouvoirs. Toutefois, si l’UE s’oppose à des modifications envisagées par le Royaume-Uni et que ce dernier les met en œuvre malgré ces objections, le pont UE/EEE-Royaume-Uni sera supprimé.

1. Transferts depuis et vers l’UE/EEE et le Royaume-Uni

Comme indiqué ci-dessus, le mécanisme de liaison contenu dans l’accord de commerce et de coopération UE-Royaume-Uni couvre données à caractère personnel les transferts de l’UE/EEE vers le Royaume-Uni. Selon les dispositions de l’accord, il s’appliquera pendant une période maximale de six mois, à moins qu’une décision d’adéquation n’entre en vigueur plus tôt. L’adoption d’une décision d’adéquation de l’UE pour le Royaume-Uni, qui devrait être adoptée en 2021, permettrait la libre circulation continue des données à caractère personnel de l’EEE vers le Royaume-Uni par la suite, sans qu’il soit nécessaire de mettre en œuvre des garanties supplémentaires.

Malgré la stabilité offerte par l’accord de commerce et de coopération, le gouvernement britannique a conseillé aux entreprises de mettre en place des mécanismes de transfert alternatifs qui peuvent protéger les données personnelles reçues de l’EEE contre toute interruption de la libre circulation des données personnelles.[49] Les CSC ont été identifiés comme le mécanisme le plus pertinent auquel les organisations peuvent avoir recours afin de sauvegarder ces transferts.

D’autre part, en ce qui concerne les transferts de données à caractère personnel du Royaume-Uni vers l’UE/EEE et GibraltarLes conditions dans lesquelles ces transferts peuvent être effectués resteront inchangées et non restreintes, selon le gouvernement britannique.[50]

2. Transferts depuis et vers le Royaume-Uni et d’autres juridictions

Le transfert de données personnelles de pays et territoires tiers vers le Royaume-Uni soulève généralement des questions de conformité juridique dans la juridiction d’exportation. L’impact de Brexit a été particulièrement important en ce qui concerne la réglementation des transferts de données vers le Royaume-Uni à partir de juridictions qui étaient déjà couvertes par une décision d’adéquation de la Commission européenne.

Avant Brexit, la Commission européenne avait constaté l’adéquation des transferts de données personnelles à un certain nombre de juridictions.[51] Ces décisions d’adéquation portent généralement sur le transfert entrant de données à caractère personnel de ces juridictions vers l’UE/EEE. Cependant, afin d’obtenir et de maintenir ces décisions d’adéquation, ces juridictions mettent en place des restrictions légales sur les transferts (ultérieurs) de données à caractère personnel vers des pays en dehors de l’EEE, qui incluent maintenant le Royaume-Uni.

Pour résoudre les problèmes potentiels liés aux transferts de données personnelles de ces juridictions vers le Royaume-Uni, les gouvernements de la plupart de ces juridictions ont publié des déclarations, des résolutions et même modifié leur régime juridique afin de permettre la poursuite du transfert de données personnelles au Royaume-Uni. L’ICO britannique a indiqué qu’il continuait à travailler avec ces juridictions afin de prendre des dispositions spécifiques pour les transferts de données à caractère personnel vers le Royaume-Uni.[52]

Du côté britannique, le règlement Brexit de 2019 applicable aux questions de protection des données a reconnu les décisions d’adéquation de la Commission européenne et a rendu admissibles les transferts transfrontaliers de données personnelles vers ces juridictions.[53] Le gouvernement et l’ICO travaillent à l’adoption de nouvelles réglementations d’adéquation au Royaume-Uni, afin de confirmer que certains pays, territoires ou organisations internationales garantissent un niveau de protection adéquat, de manière à permettre les transferts de données personnelles du Royaume-Uni vers ces juridictions, sans qu’il soit nécessaire d’adopter des garanties supplémentaires. Des CSC et d’autres mécanismes pour les transferts internationaux licites de données peuvent être mis en place pour couvrir les transferts de données à caractère personnel du Royaume-Uni vers des juridictions non couvertes par des décisions d’adéquation.

F. Autres développements importants dans l’UE

Plus généralement, cette année a été marquée par l’adoption d’importantes Lignes directrices EDPB. En plus de celles mentionnées ci-dessus, l’EDPB a publié de nouvelles lignes directrices sur les concepts de responsable du traitement et de sous-traitant, sur le ciblage des utilisateurs de médias sociaux, et sur la protection des données par conception et par défaut.[54]

En outre, de lourdes amendes ont été infligées, comme indiqué aux sections I.A à D ci-dessus, notamment France avec l’amende de 100 millions d’euros infligée à une entreprise technologique, qui est la plus forte sanction jamais imposée par une autorité de contrôle à la fin du mois de décembre 2020.

Des amendes ont également été infligées sur des sujets autres que ceux abordés ci-dessus. En particulier, dans AllemagneL’autorité de contrôle de Hambourg a infligé une amende de 35,3 millions d’euros à une entreprise de vente au détail pour avoir illégalement collecté et stocké des données personnelles sensibles de ses employés, telles que des informations sur l’état de santé, les croyances religieuses et les questions familiales. Selon l’enquête de l’autorité, les données relatives à la vie privée des employés de l’entreprise avaient été collectées de manière exhaustive et extensive par les superviseurs depuis au moins 2014, et stockées sur le disque dur du réseau de l’entreprise. Ces informations étaient accessibles à un maximum de 50 dirigeants de l’entreprise et étaient utilisées, entre autres, pour créer des profils de chaque employé afin d’évaluer leurs performances professionnelles et d’adopter des décisions en matière d’emploi. En résumé, la pratique de l’entreprise s’est traduite par un certain nombre de violations de la protection des données, notamment l’absence de base juridique pour le traitement des données, le traitement illégal des données et l’absence de contrôles visant à limiter le stockage et l’accès aux données.[55]

D’importantes sanctions pécuniaires ont également été imposées en raison de l’absence de consentement valable dans le cadre du GDPR :

  • Dans ItalieDans le cadre de l’accord de coopération, deux opérateurs de télécommunications ont été condamnés à des amendes d’environ 17 et 12 millions d’euros pour avoir traité des centaines de communications commerciales non sollicitées sans avoir obtenu le consentement préalable des utilisateurs, sans avoir offert aux utilisateurs leur droit d’opposition au traitement, et pour des pratiques de télémarketing agressives, respectivement.[56]
  • Dans EspagneL’AEPD a condamné une banque à une amende de 5 millions d’euros pour violation du droit à l’information et pour absence de consentement valable. En particulier, la banque a utilisé une terminologie imprécise pour définir la politique de confidentialité et a fourni des informations insuffisantes sur la catégorie de données personnelles traitées, notamment en ce qui concerne les données des clients obtenues par le biais de produits, services et canaux financiers. En outre, la banque n’a pas obtenu de consentement avant d’envoyer des SMS promotionnels et n’a pas mis en place de mécanisme spécifique pour que les clients et les gestionnaires de compte puissent obtenir un consentement.[57]

En ce qui concerne les exigences relatives au consentement valable en vertu du GDPR, le CJEUdans sa décision sur Orange România SA contre Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personala décidé qu’un consentement valable ne peut être déduit d’une case présélectionnée dans un contrat de fourniture de services de télécommunications, par lequel le client consent prétendument à la collecte et au stockage de son document d’identité. La Cour a précisé que c’est également le cas lorsque le client est induit en erreur quant à la possibilité de conclure le contrat s’il refuse de consentir au traitement de ses données, ou lorsque la liberté de choisir de s’opposer à cette collecte et à cette conservation est affectée par l’obligation de remplir un formulaire supplémentaire exposant ce refus.[58]

Outre le contrôle accru des autorités de protection des données, on observe également une légère tendance à la hausse des actions en exécution privée de la part des consommateurs et des (anciens) employés. Ces actions portent principalement sur l’application de la transparence et des droits d’accès aux données personnelles ainsi que sur des demandes d’indemnisation pour des violations présumées de la GDPR.

Comme l’explique le rapport “Perspectives et bilan international 2020”, l’impact croissant des services numériques en Europe et la refonte apportée par le GDPR dans l’UE ont continué à influencer les actions réglementaires et d’application des juridictions à proximité de l’UE.

A. Russie

1. Tendance à la restriction de l’accès dans l’application des lois sur la protection de la vie privée

Les lois locales russes sur la protection des données ont continué à être appliquées avec rigueur par le Service fédéral russe de contrôle des communications, des technologies de l’information et des communications de masse (“Roskomnadzor”). Cette activité reflète la priorité et la préoccupation croissantes que représente la protection des données personnelles pour la population russe. Selon les statistiques de Roskomnadzor, l’année précédente, le nombre de plaintes concernant la protection des données personnelles avait augmenté à 50 300. Le plus grand nombre de plaintes était lié aux actions des propriétaires de sites internet, y compris les réseaux sociaux, les établissements de crédit, les organisations de logement et de services communaux, et les agences de recouvrement.[59]

L’activité la plus notable de Roskomnadzor en 2020 a été l’utilisation de ses pouvoirs réglementaires pour gérer les activités de nombreux services basés sur Internet. Nous décrivons ci-dessous trois cas notables où l’accès aux ressources de l’Internet a été restreint par Roskomnadzor jusqu’à ce que l’entreprise concernée réponde à certaines attentes et/ou demandes du régulateur.

Le 29 janvier 2020, Roskomnadzor a annoncé qu’il allait restreindre l’accès au service de courrier d’une entreprise de technologie. En prenant cette décision, Roskomnadzor a noté que la société était utilisée par des cybercriminels pour envoyer de faux messages sous le couvert d’informations fiables, et qu’il avait catégoriquement refusé les demandes répétées de Roskomnadzor d’être inscrit dans le registre des organisateurs de diffusion d’informations sur Internet.[60] Toutefois, la société a pris des mesures pour remédier à la situation et, à l’heure actuelle, le site est accessible aux utilisateurs russes.

Le 20 février 2020, Roskomnadzor a pris une mesure similaire et a temporairement restreint l’accès à un autre fournisseur de services de messagerie électronique.[61] L’autorité a déclaré qu’en 2019 et en février 2020, le service de courrier électronique avait été utilisé par des cyber-attaquants pour envoyer de faux messages sous le couvert d’informations fiables sur l’exploitation massive des infrastructures de transport social et des navires dans la Fédération de Russie.

Le 18 juin 2020, Roskomnadzor a également annoncé qu’il avait supprimé les exigences visant à restreindre l’accès à l’application de messagerie d’une société de technologie.[62] Cette décision a été associée à la déclaration de Roskomnadzor selon laquelle il est prêt à coopérer avec les sociétés Internet opérant en Russie pour réprimer rapidement la diffusion d’informations terroristes et extrémistes, la pornographie enfantine et la promotion du suicide et de la drogue. En outre, Roskomnadzor a noté que, grâce à des efforts conjoints avec de grandes entreprises russes et étrangères, il a retiré, en moyenne et chaque semaine, 2 500 documents relatifs à des comportements suicidaires, 1 300 documents de nature extrémiste et terroriste, 800 documents faisant la propagande de la consommation de drogues et 300 documents contenant des images pornographiques de mineurs.

2. L’autorité russe de protection des données a continué à cibler les grandes entreprises multinationales du secteur numérique

En 2020, Roskomnadzor a suivi la tendance qu’il s’était fixée en ciblant les grandes entreprises multinationales du numérique. Le 31 janvier 2020, l’autorité a annoncé qu’elle avait ouvert une procédure administrative contre deux services de réseaux sociaux.[63] En particulier, Roskomnadzor a déclaré que ces sociétés ne répondaient pas aux exigences de localisation des données des utilisateurs russes sur des serveurs situés dans la Fédération de Russie.

Suite à la procédure engagée par l’autorité, le 13 février 2020, le tribunal de l’arrondissement Tagansky de Moscou a infligé aux deux services de réseaux sociaux une amende de 4 millions de roubles (environ 45 000 euros) pour ces violations.[64] La Cour a confirmé la conclusion de l’autorité selon laquelle l’une des sociétés avait violé l’obligation légale de la Russie d’enregistrer, d’organiser et de stocker les données personnelles des citoyens russes dans des bases de données situées dans la Fédération de Russie.[65]

3. Mises à jour législatives

Plusieurs lois importantes ont été adoptées à la fin de l’année 2020.

Les nouveaux amendements au Code des infractions administratives de la Fédération de Russie prévoient des amendes considérables pour défaut de suppression d’informations interdites à la demande de Roskomnadzor.[66] Les amendes peuvent être infligées aux fournisseurs d’hébergement ou à toute personne permettant à d’autres personnes de publier des informations sur Internet pour défaut de restriction de l’accès aux informations interdites et aux propriétaires des sites web ou des ressources Internet pour défaut de suppression des informations interdites. Elles peuvent atteindre 4 000 000 RUB (environ 45 000 euros) pour la première infraction et 10 % du chiffre d’affaires annuel de l’entreprise de l’année civile précédente (mais pas moins de 4 000 000 RUB) pour l’infraction suivante. Si les informations interdites contiennent de la propagande extrémiste, de la pornographie enfantine ou des drogues, la responsabilité est augmentée jusqu’à 8 000 000 RUB (environ 90 000 euros) pour la première infraction ou jusqu’à 20 % du chiffre d’affaires annuel de l’entreprise pour l’année civile précédente (mais pas moins de 8 000 000 RUB) pour l’infraction suivante. Cette loi, entrée en vigueur le 10 janvier 2021, vise à établir la responsabilité des fournisseurs d’hébergement, des propriétaires de sites web et de ressources d’information qui omettent de restreindre l’accès à l’information ou de la supprimer, dont la diffusion est interdite en Russie.

Un autre amendement à la loi russe[67] augmente considérablement les risques de blocage des ressources internet en Russie. La loi introduit le statut de propriétaire d’une ressource Internet impliquée dans des violations des droits fondamentaux des citoyens russes. Le procureur général, en consultation avec le ministère russe des affaires étrangères, peut attribuer ce statut au propriétaire d’une ressource Internet qui fait preuve de discrimination à l’égard des documents provenant des médias russes. Une telle décision peut être prise si la ressource Internet limite l’accès à des informations socialement importantes en raison de la nationalité, de la langue, ou en relation avec l’imposition de sanctions contre la Russie ou ses citoyens. Si le propriétaire de la ressource Internet censure ou restreint de quelque façon que ce soit l’accès aux comptes des médias russes, Roskomnadzor est en droit de restreindre l’accès à cette ressource Internet, en tout ou en partie. Cette loi est entrée en vigueur le 10 janvier 2021.

La loi modifiant la loi sur les données personnelles modifie considérablement le paysage juridique en ce qui concerne le traitement des données personnelles accessibles au public.[68] Conformément à la nouvelle loi, les responsables du traitement qui rendent publiques des données à caractère personnel en vue de leur traitement ultérieur par des tiers doivent obtenir le consentement explicite des personnes concernées, qui ne doit pas être associé à d’autres consentements, et les personnes concernées disposent d’un large éventail de droits à cet égard.

Les tiers qui ont l’intention de traiter des données à caractère personnel accessibles au public ont trois possibilités : (i) se fonder sur le consentement obtenu par le responsable du traitement lorsqu’il rend les données accessibles au public, sous réserve du respect des règles de traitement des données ; (ii) se fonder sur le consentement fourni par une personne à Roskomnadzor par l’intermédiaire d’une plate-forme web dédiée qui sera mise en place en vertu de la loi, mais également sous réserve du respect des règles de traitement des données ; ou (iii) s’assurer par eux-mêmes qu’ils disposent des bases juridiques appropriées conformément aux exigences générales de la loi russe sur les données à caractère personnel. Les règles ci-dessus entreront en vigueur à partir du 1er mars 2021.

En outre, la nouvelle loi introduit l’obligation pour le responsable du traitement de publier des informations sur les modalités de traitement et les interdictions et conditions existantes pour le traitement de données à caractère personnel, autorisé par une personne concernée pour diffusion, par un nombre illimité de personnes. Ces nouvelles exigences entreront en vigueur à partir du 1er juillet 2021. Selon les modifications apportées à la loi sur l’information, les technologies de l’information et la protection de l’information, si une ressource est considérée comme un réseau social, elle sera incluse dans le registre tenu par le Roskomnadzor.[69] Ces amendements imposent aux réseaux sociaux des obligations de modération concernant le contenu publié par les utilisateurs, et les obligent à mettre à disposition certaines informations sur leurs sites web.

Dans la pratique, les réseaux sociaux seront désormais tenus d’identifier et de restreindre l’accès aux contenus illégaux.[70] En outre, les informations suivantes doivent être publiées sur le réseau social par son propriétaire : (i) nom, adresse électronique et un formulaire électronique pour l’envoi de demandes concernant le contenu illégal ; (ii) rapports annuels sur les résultats de l’examen des demandes et des activités de suivi ; (iii) conditions d’utilisation du réseau social. Cette modification entrera en vigueur le 1er février 2021.

Les lois récemment adoptées témoignent de la tendance à la réglementation accrue des activités de l’industrie des technologies de l’information en Russie. Avec ces nouvelles réglementations, les autorités russes renforcent les mécanismes de régulation qui peuvent affecter les activités des sites web, des médias d’information, des médias sociaux, des réseaux sociaux et des services d’hébergement vidéo en Russie.

B. Suisse

1. Le PADA révisé

Le 25 septembre 2020, le Parlement suisse a adopté la version révisée de la loi fédérale sur la protection des données de 1992 (“PADA révisé”).[71] Le PADF révisé n’est pas encore en vigueur, car il était soumis à approbation par référendum jusqu’au 14 janvier 2021 (qui n’a pas eu lieu). Le Conseil fédéral décidera de l’entrée en vigueur qui est prévue dans le courant de 2021 ou au début de 2022. La date précise est particulièrement importante, car le PICA révisé ne prévoit aucune période transitoire.

L’une des principales raisons de l’adoption du PIDAA révisé était de faire en sorte que l’UE reconnaisse que la Suisse offre un niveau de protection adéquat des données personnelles selon les normes de la GDPR.

Les différences les plus significatives entre le PICA révisé et la version précédente sont les suivantes :

  • Le PICA révisé codifie désormais expressément le principe international de la doctrine des effets, sous réserve des principes régissant l’exécution civile et pénale qui restent en vigueur.[72] Par conséquent, le PADA révisé s’appliquera également aux personnes qui sont domiciliées en dehors de la Suisse si elles traitent des données personnelles et que ce traitement de données a un effet en Suisse.
  • Les données personnelles relatives aux personnes morales ne sont plus couvertes par le PADF révisé, qui est conforme au GDPR, et par la plupart des lois étrangères sur la protection des données.[73]
  • Le PIDAA révisé prolongera la durée de validité des données sensibles en ajoutant deux nouvelles catégories : (i) les données génétiques ; et (ii) les données biométriques qui identifient de manière unique un individu.[74]
  • Le PADF révisé contient désormais une définition légale du profilage qui correspond à la définition du GDPR.[75]
  • Le PADA révisé distingue les contrôleurs et les processeurs.[76]
  • Comme le GDPR, le PADF révisé contient des dispositions concernant la protection des données par conception et par défaut.[77]
  • Le PADF révisé prévoit qu’un sous-traitant ne peut engager un sous-traitant secondaire qu’avec le consentement préalable du responsable du traitement.[78]
  • En vertu du PADA révisé et sous réserve d’exemptions spécifiques, les responsables du traitement et les sous-traitants doivent tenir des registres des activités de traitement des données sous leur responsabilité respective. L’ancienne obligation de notifier les fichiers de données au Commissaire fédéral à la protection des données et à l’information et de s’inscrire auprès de celui-ci (PFPDT“) a été supprimée.[79]
  • En vertu du PICA révisé et dans des conditions spécifiques, les responsables de traitement qui sont domiciliés ou résident à l’étranger et qui traitent des données personnelles de personnes suisses doivent désigner un représentant en Suisse.[80]
  • Le PIDAA révisé prévoit que les personnes doivent (au moment de la collecte) être informées de certaines informations minimales[81] et disposent d’un nouveau droit d’intervention en cas de prise de décision automatisée.[82]
  • Dans le cadre du PIDAA révisé, le PFPDT aura le pouvoir d’émettre des décisions contraignantes. Toutefois, il n’aura pas le pouvoir unilatéral d’imposer des amendes, contrairement à la plupart des autorités de protection des données en Europe – le recours aux tribunaux suisses sera nécessaire.
  • Les responsables du traitement sont tenus de procéder à une évaluation d’impact sur la protection des données (“DPIA“) lorsqu’il existe un risque élevé pour la vie privée et les droits fondamentaux des personnes concernées.[83]
  • Les responsables du traitement auront l’obligation de notifier au PFPDT les violations de données lorsqu’un incident entraîne un risque élevé pour les personnes concernées.[84]
  • Le PADA révisé introduit le droit à la portabilité des données, qui n’était pas couvert par la précédente loi sur la protection des données.[85]
  • Le montant maximum des sanctions pour les particuliers sera de 250 000 francs suisses (environ 232 000 euros),[86] et le PADA révisé étend également la responsabilité pénale à la violation d’obligations supplémentaires en matière de protection des données.

Comme on peut le constater, il existe des similitudes importantes entre le PADF révisé et le PIBR. L’entrée en vigueur du PIDAA révisé devrait donc entraîner une continuité dans les transferts de données transfrontaliers entre l’UE et la Suisse.

2. Le bouclier de protection de la vie privée entre la Suisse et les États-Unis

Le 8 septembre 2020, le PFPDT a publié une évaluation sur le bouclier de protection de la vie privée entre la Suisse et les Etats-Unis, dans laquelle il a constaté que le mécanisme de transfert transfrontalier ne garantissait pas un niveau de protection adéquat pour les transferts de données de la Suisse vers les Etats-Unis.[87] Avant l’évaluation du PFPDT, la CJUE avait rendu son arrêt dans Schrems II,[88] en juillet 2020, ce qui a rendu invalide la décision de la Commission européenne sur le bouclier de protection de la vie privée entre l’UE et les États-Unis.

Le PFPDT a identifié deux problèmes clés concernant le bouclier de protection de la vie privée entre la Suisse et les Etats-Unis, à savoir (i) l’absence d’un recours juridique exécutoire pour les personnes concernées en Suisse, notamment en raison de l’impossibilité d’évaluer l’efficacité du mécanisme du médiateur en raison d’un manque de transparence ; et (ii) l’impossibilité d’évaluer les capacités décisionnelles du médiateur et son indépendance par rapport aux services de renseignement américains. L’évaluation du PFPDT étant un instrument de droit mou sans caractère juridiquement contraignant, le Privacy Shield suisse-américain restera valable et contraignant pour les sociétés enregistrées à moins et jusqu’à ce qu’il soit abrogé ou annulé au cas par cas par les tribunaux suisses compétents ou dans son intégralité par les Etats-Unis.

C. Turquie

1. L’autorité et le conseil turcs de protection des données publient un certain nombre de règlements, de décisions et de documents d’orientation

En 2020, l’autorité turque de protection des données (“KVKK“) et le Conseil turc de protection des données (le “Conseil”) ont continué à publier un certain nombre de déclarations, de décisions et de documents d’orientation concernant l’application et l’exécution des dispositions turques en matière de protection des données. Nous présentons et expliquons brièvement ci-dessous les plus pertinents :

  • Le 16 décembre 2020, le KVKK a publié une déclaration sur les règles de protection des données relatives aux données personnelles accessibles au public. Dans cette déclaration, le KVKK a reconnu que la loi sur la protection des données personnelles n° 6698 (“Turc Loi sur la protection des données“) permet le traitement de données à caractère personnel lorsque les données concernées sont mises à la disposition du public par la personne concernée elle-même.[89] Toutefois, le KVKK a précisé que la notion de “rendre les données publiques” a un sens étroit dans la loi turque sur la protection des données, et ne couvre que les cas où les personnes concernées souhaitent que les données soient publiques pour le traitement des données – le simple fait de rendre les données personnelles accessibles au public n’est pas suffisant.
  • Le 26 octobre 2020, le KVKK a publié une déclaration sur les transferts de données transfrontaliers en dehors de la Turquie.[90] La déclaration indique que la loi turque sur la protection des données prévoit un délai de grâce pour se conformer aux dispositions pertinentes en matière de transfert de données, et que plusieurs délais ont été prolongés en raison de la pandémie COVID-19. Le KVKK s’est également engagé à éliminer et à corriger tout malentendu découlant de l’interprétation et de la mise en œuvre de la loi, qui avait suscité des critiques de la part des praticiens et des universitaires. Pour commencer, le KVKK a précisé que le Conseil évaluera l’adéquation des juridictions étrangères pour les transferts de données en fonction d’un certain nombre de facteurs, notamment la réciprocité concernant les transferts de données entre le pays importateur et la Turquie. Le KVKK a également indiqué que des “règles d’entreprise contraignantes” (“BCR”) peuvent être applicables et utilisées dans les transferts de données entre sociétés de groupes multinationaux. En effet, le 10 avril 2020, le KVKK a introduit les RCB dans la loi turque sur la protection des données, pour être utilisées dans les transferts transfrontaliers de données personnelles des sociétés de groupes multinationaux.[91] Dans son annonce, le KVKK a décrit la procédure des lettres d’engagement pour les transferts de données en dehors de la Turquie, et déclare que bien que les lettres d’engagement facilitent les transferts bilatéraux de données, elles peuvent être inadéquates en termes de transferts de données entre les sociétés de groupes multinationaux. Le KVKK a donc déterminé que les lettres d’engagement étaient un autre moyen pouvant être utilisé pour les transferts de données internationaux entre les sociétés du groupe.
  • Le 17 juillet 2020, le KVKK a publié une déclaration sur la désindexation des données personnelles des résultats des moteurs de recherche[92] sur la base de la décision de la Commission portant le numéro 2020/481.[93] Le KVKK a déclaré dans son annonce qu’il avait évalué les demandes présentées devant le KVKK en ce qui concerne les demandes de désindexation des résultats de recherche sur le web et que, dans le cadre du “droit d’être oublié”, le Conseil a décidé que les moteurs de recherche devaient être considérés comme des “responsables du traitement des données” en vertu de la loi turque sur la protection des données, que les particuliers pouvaient principalement transmettre leurs demandes de désindexation aux moteurs de recherche et déposer des plaintes devant le KVKK et que les moteurs de recherche devaient faire un test d’équilibre entre les droits et libertés fondamentaux et l’intérêt public. En outre, le KVKK a également publié un document sur les critères[94] en indiquant que les demandes de désindexation doivent être examinées en fonction des questions qui y sont indiquées, ce qui est principalement basé sur l’avis du groupe de travail Article 29 sur les lignes directrices relatives à la mise en œuvre de l’arrêt de la Cour de justice de l’Union européenne dans l’affaire Costeja.
  • Le 26 juin 2020, le KVKK a publié une déclaration sur l’obligation d’informer les personnes concernées.[95] La déclaration concerne les règles générales qui sont déjà régies par la loi turque sur la protection des données et le droit dérivé concernant l’obligation d’informer prévue pour les responsables du traitement des données. La KVKK a indiqué dans son annonce que les politiques de protection de la vie privée ou de traitement des données ne devraient pas être utilisées pour remplir l’obligation d’informer et que, par conséquent, les avis de confidentialité devraient être séparés de ces textes. Par la suite, le KVKK a énuméré plusieurs exemples concernant les lacunes et les illégalités en matière d’obligation d’information.
  • Dans le contexte de la pandémie COVID-19, le 9 avril 2020, le KVKK a publié une déclaration sur le traitement des données de localisation à la lumière de la pandémie COVID-19.[96] La déclaration souligne que de nombreux autres pays ont utilisé et autorisé l’utilisation de données personnelles, telles que la santé, la localisation et les coordonnées des individus, pour identifier ceux qui sont porteurs ou risquent d’être porteurs de cette maladie. Le KVKK rappelle que le traitement de ces données doit être effectué dans le cadre des principes fondamentaux inscrits dans la loi turque sur la protection des données.

2. La loi turque sur la protection des données continue d’être appliquée

2020 a également été l’année où le KVKK a appliqué la loi turque sur la protection des données dans le cadre de plusieurs procédures de protection des données.

Le 6 février 2020, le KVKK a infligé une amende de 210 000 TRY (environ 27 800 euros) à une banque non déclarée pour avoir traité illégalement des données personnelles afin de gagner des clients potentiels.[97] L’affaire concernait la création de comptes bancaires à l’insu et sans le consentement des personnes, en utilisant des informations obtenues par la banque via un tiers. La KVKK a estimé que la banque avait agi en violation de ses obligations de sécurité pour empêcher le traitement illégal de données à caractère personnel.

Le 22 juillet 2020, le KVKK a infligé une amende de 900 000 TRY (environ 101 840 euros) à une entreprise automobile pour des violations liées au transfert de données à caractère personnel sur la base de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (“Convention 108”).[98] Le fournisseur de logiciels a cherché à s’appuyer sur le fait que le pays destinataire était partie à la Convention 108 et, par conséquent, offrait une protection suffisante aux données personnelles importées de Turquie. Cependant, le KVKK a souligné que le fait qu’un pays destinataire soit partie à la Convention 108 est en soi une mesure insuffisante pour déterminer la protection adéquate des données. Le transfert de données a donc été effectué en violation de la loi turque sur la protection des données, sans le consentement des personnes concernées et ne bénéficiant d’aucune des exceptions prévues par la loi turque sur la protection des données. Il convient de noter, à cet égard, que le KVKK n’a pas encore publié la liste des pays considérés comme offrant une protection suffisante en vertu de la loi turque. Enfin, la décision note que le responsable du traitement des données n’a pas respecté ses obligations en matière de sécurité des données, car il n’a pas empêché le traitement et le transfert illégaux de données à caractère personnel. Le KVKK a ordonné au responsable du traitement de supprimer/détruire les données à caractère personnel transférées illégalement en dehors de la Turquie.

Le 16 avril 2020, le KVKK a infligé une amende de 1 100 000 TRY (environ 120 000 euros) à une société de jeux de hasard pour ne pas avoir notifié au KVKK une violation de données dans les soixante-douze (72) heures après avoir eu connaissance de la violation de données en question et pour ne pas avoir pris les mesures de sécurité requises.[99]

Le 27 février 2020, le KVKK a infligé à une société de commerce électronique une amende de 1 200 000 TRY (environ 120 000 euros) principalement, 1 100 000 TRY pour non-respect des obligations relatives à la sécurité des données et 100 000 TRY pour non-respect de l’obligation d’informer les personnes concernées.[100] En outre, la Commission a également ordonné au responsable du traitement de réviser les processus de traitement des données et la politique de confidentialité, les conditions de vente et d’utilisation et l’avis sur les cookies conformément aux irrégularités constatées et à la loi turque sur la protection des données. Dans sa décision, la Commission a déclaré que (i) la politique de confidentialité contient de nombreuses informations et des informations générales sur le traitement des données à caractère personnel, ce qui ne signifie pas que les personnes concernées sont dûment informées ; (ii) bien que les activités de traitement des données commencent avec les cookies dès qu’un utilisateur entre sur le site web, l’obligation d’information n’est pas respectée à tous les stades, tels que les cookies ou la connexion des membres au site web ; (iii) le consentement explicite n’est pas obtenu pour les communications électroniques commerciales et le transfert transfrontalier de données à caractère personnel ; et (iv) étant donné que les lettres d’engagement soumises pour le transfert transfrontalier de données à caractère personnel ne sont pas approuvées et que les pays sûrs n’ont pas été annoncés, le responsable du traitement ne peut transférer des données à caractère personnel à l’étranger que sur la base du consentement explicite des personnes concernées.

A. Australie

Le gouvernement australien a publié les termes de référence et le document de réflexion pour la révision de la loi sur la protection de la vie privée de 1988, et a sollicité des soumissions publiques avant le 29 novembre 2020. Cette révision globale pourrait mettre à jour les principales dispositions de la loi de 1988 sur la protection de la vie privée, telles que l’augmentation des sanctions civiles maximales, la création d’un code de protection de la vie privée contraignant pour les plateformes de médias sociaux, le renforcement des exigences de notification et de consentement, la modification des transferts internationaux de données et l’élargissement de la définition des informations personnelles. Le gouvernement prévoit de publier un document de discussion visant à obtenir des commentaires spécifiques sur les résultats préliminaires et les domaines de réforme possibles au début de l’année 2021.

B. Chine

1. Nouveaux développements dans la législation chinoise

Le cadre législatif le plus important en Chine pour la protection des données personnelles est la loi sur la cybersécurité (“Loi sur la cybersécurité“) qui est entré en vigueur le 1er juin 2017. Deux autres lois ont été introduites dans le pipeline en 2020 : le projet de loi sur la protection des informations personnelles[101] (“Projet de PIPL“) ; et le projet de loi sur la sécurité des données (“Projet de DSL”). Une fois adoptée, la combinaison de ces trois instruments juridiques (la loi sur la cybersécurité, le projet de loi sur la sécurité des données et le projet de PIPL) devrait devenir la loi fondamentale dans le domaine de la cybersécurité et de la protection des données en Chine.

Le Projet de PIPL se veut une loi générale sur la protection des données, qui pourrait harmoniser le cadre législatif fragmenté actuel. Toutefois, même après l’adoption du projet de LPRP, la protection des informations personnelles en Chine resterait sectorielle.

Le projet de PIPL a été partiellement inspiré par le GDPR, mais il présente des différences importantes qui empêchent une approche transfrontalière commune (par exempleEn ce qui concerne les fondements juridiques du traitement des données, il n’y a pas de base juridique d’intérêt légitime du responsable du traitement). L’utilisation d’un cadre unique de protection de la vie privée pour les entreprises européennes et chinoises n’entraînerait donc pas un respect adéquat de la législation.

Le projet de PIPL introduit de nouvelles amendes substantielles. Par exemple, les entreprises de traitement de données sont passibles d’amendes de 50 millions de RMB (environ 8 millions d’euros, soit 7,4 millions de dollars), soit 5 % des recettes de l’entreprise pour l’année précédente.[102] En outre, l’administration du cyberespace de la Chine aurait également la compétence de mettre sur liste noire les organisations et les personnes qui font un usage abusif des données des personnes concernées.[103]

Le 18 novembre 2020, le Centre for Information Policy Leadership (“CIPL“) a soumis des recommandations sur d’éventuelles modifications du projet de LIPP afin d’assurer la protection des citoyens, des entreprises et des données gouvernementales de la Chine,[104] dont les suivantes :

  • Le projet de PIPL comprend des définitions pour les informations personnelles sensibles,[105] y compris les informations biométriques, financières, ethniques et religieuses. Le CIPL a suggéré une approche basée sur le risque pour évaluer le traitement des données personnelles, plutôt que de fournir des catégories d'”informations sensibles” prédéfinies.
  • Selon la CIPL, des dérogations devraient être prévues à l’obligation générale de nommer des responsables et des représentants de la protection des données, conformément à d’autres lois étrangères sur la protection de la vie privée comme la GDPR.
  • Le projet de PIPL devrait expliquer plus en détail les conditions ou facteurs nécessaires pour satisfaire à l’évaluation de la sécurité de l’administration du cyberespace pour les transferts transfrontaliers de données à caractère personnel.
  • Le projet de PIPL devrait clarifier ce qui constitue un acte illégal “grave”.
  • Enfin, le CIPL a recommandé que les organisations bénéficient d’un délai de grâce de deux ans à compter de la date d’adoption du projet de PIPL, afin d’être pleinement conformes.

L’autre grande proposition législative, la Projet de DSLLa directive relative à la protection des données, qui a été adoptée par le Conseil européen de Lisbonne, a pour but de fournir les règles fondamentales de la sécurité des données, tant pour les données personnelles que pour les données non personnelles. Le champ d’application prévu du projet de LIS est large, s’appliquant aux “activités” (actions comprenant la collecte, le stockage, le traitement, l’utilisation, la fourniture, le commerce et la publication) concernant les “données” (tout enregistrement d’informations sous forme électronique ou non électronique).

Enfin, le 1er janvier 2021, le Code civil de la République populaire de Chine est entré en vigueur, adopté par la troisième session de la 13e APN. Le Code civil s’applique à toutes les entreprises en général (sans distinction entre les contrôleurs et les sous-traitants), et introduit des règles pour la protection des informations personnelles, y compris leur collecte, leur utilisation, leur divulgation et leur traitement.

2. Application de la législation chinoise en matière de protection des données et de cybersécurité

En août 2020, la Commission de réglementation des banques et des assurances de Chine (“CBIRC“) a infligé deux amendes distinctes de 1 million RMB (150 000 $) à deux banques.[106] Dans les deux cas, les banques ont été condamnées à une amende pour ne pas avoir assuré la protection des données personnelles des clients des cartes de crédit.

C. RAS de Hong Kong

Le 30 juin 2020, la loi de la République populaire de Chine sur la sauvegarde de la sécurité nationale dans la région administrative spéciale de Hong Kong (la “NSL“) adopté par le Comité permanent de l’Assemblée populaire nationale de la République populaire de Chine (le “PRC“) est devenue effective à Hong Kong. La LSN habilite les autorités chargées de l’application des lois à fouiller les appareils électroniques et les locaux susceptibles de contenir des preuves d’infractions connexes et à effectuer une surveillance secrète sur approbation du chef de l’exécutif ; elle criminalise les actes de terrorisme, de subversion, de sécession ou de collusion avec des forces étrangères ou extérieures pour mettre en danger la sécurité nationale ; et tient les entités constituées ou non en société responsables des violations de la LSN.

En outre, le Comité pour la sauvegarde de la sécurité nationale (le ” Comité “) a été créé en 2003.Comité“), qui se compose de certains fonctionnaires de Hong Kong et d’un conseiller nommé par le gouvernement populaire central de la RPC (le “CPR“), est établi en vertu de la LSN et assume diverses fonctions, notamment la formulation de plans de travail et de politiques, la promotion des mécanismes d’application et la coordination d’opérations importantes pour la sauvegarde de la sécurité nationale à Hong Kong. Les décisions prises par le Comité ne sont pas soumises à un contrôle juridictionnel.

L’Office pour la protection de la sécurité nationale du CPG (l'” Office “) est chargé de la protection de la sécurité nationale.Bureau“) peut, dans des circonstances précises, se déclarer compétent pour des affaires graves ou complexes qu’il serait difficile ou inefficace pour Hong Kong de traiter en raison, par exemple, de l’implication d’un pays étranger ou d’éléments extérieurs. De telles affaires doivent être instruites par le Bureau et, après poursuite par un organe désigné par le Parquet populaire suprême, jugées par un tribunal désigné par la Cour populaire suprême de la RPC.

La LSN s’applique non seulement aux infractions commises ou ayant des conséquences à Hong Kong par toute personne ou entité, mais aussi aux infractions commises depuis l’extérieur de Hong Kong contre Hong Kong par toute personne ou entité.

D. Inde

1. Initiatives législatives

Comme l’indique le rapport Perspectives et bilan internationaux 2020, le projet de loi sur la protection des données personnelles 2019 (“Projet de loi PDP“) a été présenté au Parlement le 11 décembre 2019, adapté du projet de loi sur la protection des données présenté au ministère de l’électronique et des technologies de l’information le 27 juillet 2018[107]par le comité d’experts dirigé par le juge Srikrishna. Par la suite, le projet de loi PDP a été renvoyé à une commission parlementaire mixte pour examen. En janvier 2021, le projet de loi PDP est dans sa phase finale de délibération et devrait être promulgué prochainement. Plusieurs organismes industriels et parties prenantes ont été invités à se présenter devant la commission parlementaire mixte pour donner leur avis sur les amendements apportés au projet de loi PDP et sur les conditions requises pour une loi nationale sur la protection des données. En attendant la promulgation du projet de loi PDP, les règles de 2011 sur les technologies de l’information (pratiques et procédures de sécurité raisonnables et données ou informations personnelles sensibles) continuent de régir la protection des données en Inde.

En septembre 2019, le ministère de l’électronique et des technologies de l’information a constitué un comité d’experts (“Comité“) pour élaborer un cadre de réglementation des données non personnelles. Finalement, le 12 juillet 2020, le Comité a publié un rapport sur le cadre de gouvernance des données non personnelles (“Cadre du NPD”)[108]où il a souligné que la réglementation des données non personnelles est nécessaire pour encourager l’innovation, créer de la valeur à partir du partage des données, répondre aux préoccupations en matière de vie privée et prévenir les préjudices. Le cadre du NPD a été critiqué pour l’imposition d’obligations de partage des données et de conditions de conformité onéreuses aux entités qui collectent et gèrent des données non personnelles. Après avoir examiné les réactions du public et des parties prenantes, le Comité a publié une version révisée du cadre du NPD le 1er janvier 2021, dans laquelle le Comité a apporté plusieurs clarifications à la version précédente et a rationalisé les compétences du projet de loi PDP et du cadre du NPD. Le cadre du NPD est toujours en consultation publique et doit encore être présenté au Parlement en tant que projet de loi pour la promulgation d’une réglementation unique au niveau national afin d’établir des droits sur les données non personnelles collectées et créées en Inde.

En août 2020, le gouvernement indien a également proposé un cadre de partage des données dans le secteur des technologies financières. L’Institution nationale pour la transformation de l’Inde (NITI Aayog“) a publié un projet de cadre sur l’architecture d’autonomisation et de protection des données[109] qui sera mis en œuvre par les quatre régulateurs gouvernementaux : la Banque de réserve de l’Inde, le Conseil des valeurs mobilières de l’Inde, l’Autorité de régulation et de développement des assurances et l’Autorité de régulation et de développement des fonds de pension, et le ministère des finances. Le projet vise à mettre en place un mécanisme de partage de données sécurisé et fondé sur le consentement dans le secteur des technologies financières, ce qui pourrait constituer une étape importante vers l’autonomisation des individus en ce qui concerne leurs données personnelles. Le projet vise à permettre aux individus de partager leurs données financières entre les banques, les assureurs, les prêteurs, les sociétés de fonds communs de placement, les investisseurs, les collecteurs d’impôts et les fonds de pension de manière sécurisée.

En août 2020, le gouvernement indien a également lancé la National Digital Health Mission (“NDHM“), un projet visionnaire qui vise à numériser l’ensemble de l’écosystème des soins de santé en Inde. La politique nationale de gestion des données de santé, 2020[110] est entré en vigueur le 15 décembre 2020, et constitue la première étape de la réalisation du principe directeur du NDHM, à savoir ” lasécurité et respect de la vie privée dès la conception” pour la protection de la confidentialité des données de santé numériques personnelles des donneurs d’ordre. Il est destiné à être un document d’orientation pour l’ensemble de l’écosystème national de la santé numérique et définit la norme minimale de protection de la confidentialité des données relatives à la santé physiologique et psychologique des individus en Inde.

2. Avis et orientations réglementaires

Les institutions indiennes ont également adopté certaines mesures en réponse aux défis résultant de la pandémie COVID-19. Par exemple, le Conseil indien de la sécurité des données (DSCI“) a publié les meilleures pratiques sur le travail à domicile à la lumière de la COVID-19[111] le 18 mars 2020. Les orientations indiquent, entre autres, que les réseaux privés virtuels ne doivent être utilisés que sur des appareils appartenant à l’entreprise, que les employés doivent accéder aux données et aux applications de l’entreprise via une page web basée sur un navigateur ou un bureau virtuel, et qu’une évaluation des risques doit être effectuée lors du choix d’une méthode d’accès à distance. En outre, les orientations définissent un mandat de base pour les organisations et les employés, qui consiste notamment à veiller à la confidentialité des transactions de valeur et des documents financiers sensibles lorsqu’ils travaillent à domicile.

Dans le même ordre d’idées, le DSCI a publié, le 24 avril 2020, ses lignes directrices sur la confidentialité des données pendant la pandémie COVID-19, qui mettent en évidence les implications de COVID-19 sur la vie privée de différents groupes de parties prenantes et qui fournissent des pratiques en matière de protection de la vie privée et des données.[112] Les lignes directrices abordent les considérations relatives à la confidentialité des soins de santé et soulignent l’importance d’informer les patients de toutes les informations collectées, de mettre en place des protocoles spécifiques pour garantir l’obtention du consentement, de disposer de mécanismes d’audit interne et externe pour évaluer les mesures de protection de la vie privée et d’utiliser les données de santé uniquement aux fins spécifiques de leur collecte. Enfin, les lignes directrices prévoient des considérations relatives au travail à domicile, tant pour les employeurs que pour les employés, et soulignent l’importance de revoir les stratégies de protection des données et les pratiques de gestion des données, de rester conforme aux obligations réglementaires, de réaliser des évaluations d’impact sur la protection des données afin de déterminer les risques pour la vie privée, et de sensibiliser et de former les organisations à la protection de la vie privée.[113]

Le DSCI a également publié le 8 septembre 2020 son rapport intitulé “Report for Enabling Accountable Data Transfers from India to the United States Under India’s Proposed Personal Data Protection Bill[114] (“Rapport sur les transferts de données”). L’objectif du rapport sur les transferts de données est de faire des recommandations supplémentaires au projet de loi PDP existant afin de permettre la libre circulation des données entre les pays, en particulier avec les États-Unis en raison de la valeur ajoutée qu’elle apporte à l’économie numérique de l’Inde, et de fournir des solutions pour faciliter les transferts de données entre l’Inde et les États-Unis. Le rapport sur les transferts de données suggère également, entre autres choses, que la disposition du PDP Bill sur la création de codes de pratique devrait inclure des exigences de certification afin d’accroître l’interopérabilité entre les différents régimes de protection de la vie privée ainsi que de faciliter les mécanismes de transfert transfrontalier.

Le 2 septembre 2020, le Comité de normalisation de l’intelligence artificielle du Département des télécommunications a publié son document de travail sur la pile d’IA en Inde.[115] Le document de travail note que la pile d’IA permettra, entre autres, de sécuriser les environnements de stockage qui simplifient l’archivage et l’extraction des données sur la base de la classification des données, d’assurer la protection des données par la fédération des données, la minimisation des données, un cadre d’algorithme ouvert, des structures de données, des interfaces et des protocoles définis, ainsi que la surveillance, l’audit et la journalisation, tout en garantissant la légitimité des services de soutien.

3. Application des lois sur la protection des données

En 2020, le gouvernement indien a adopté trois décisions visant à bloquer des demandes suite à des informations selon lesquelles ils se livraient à des activités préjudiciables à l’intégrité et à la sécurité nationale de l’Inde.[116]

En particulier, le gouvernement a reçu des plaintes concernant l’utilisation abusive de données d’applications mobiles, le vol et la transmission secrète de données d’utilisateurs de manière non autorisée à des serveurs situés en dehors de l’Inde. En conséquence, le 29 juin 2020, le gouvernement a décidé d’interdire l’utilisation de 59 applications afin de sauvegarder les intérêts des utilisateurs indiens de téléphonie mobile et d’Internet.[117] De même, le 2 septembre 2020[118]et le 29 novembre 2020,[119] le gouvernement indien a décidé de bloquer à nouveau 118 et 43 applications mobiles, respectivement, pour utilisation abusive des données des utilisateurs et exercice d’activités préjudiciables à la souveraineté, à l’intégrité et à la défense de l’Inde, ainsi qu’à la sécurité de l’État et à l’ordre public. Selon le gouvernement, les pratiques des applications ont soulevé des inquiétudes liées au fait qu’elles collectaient et partageaient des données d’une manière qui compromettait les données personnelles des utilisateurs, ce qui constituait une menace grave pour la sécurité de l’État.

Le 23 novembre 2020, la Haute Cour de l’Orissa a rendu un important jugement soulignant la nécessité de reconnaître le droit à l’oubli, notant la présence d’images et de vidéos choquantes de victimes de viol sur les plateformes de médias sociaux.[120] La Cour a souligné que le principe de la limitation de la finalité est déjà inscrit dans la loi en vertu du précédent de l’arrêt de la Cour suprême dans l’affaire K.S. Puttaswamy c. Union of Indiaet que la capture d’images et de vidéos avec le consentement de la victime ne peut justifier l’utilisation abusive ultérieure de ce contenu. Le tribunal a fait référence à la jurisprudence existante et au projet de loi PDP, qui prévoit le droit d’être oublié. En conséquence, le tribunal a reconnu le droit à l’oubli comme un droit in rem et a souligné qu’en l’absence de législation, les victimes peuvent néanmoins demander des ordonnances appropriées pour faire effacer les messages offensants des plateformes publiques afin de garantir la protection de leur droit à la vie privée.

E. Indonésie

Le 24 janvier 2020, un projet de loi sur la protection des données personnelles (“Projet de loi PDP“) a été soumise à la Chambre des représentants indonésienne.[121] Le projet de loi du PDP consolide les règles relatives à la protection des données personnelles en Indonésie, et devrait faire de la souveraineté et de la sécurité des données la clé de voûte du régime indonésien de protection des données.[122]

Le 1er septembre 2020, le ministère indonésien des technologies de la communication et de l’information (“Kominfo“) a publié une déclaration affirmant que le projet de loi du PDP serait terminé à la mi-novembre 2020.[123] Toutefois, il semble que la pandémie de COVID-19 ait entraîné des retards dans l’adoption du projet de loi.

Enfin, le 10 mars 2020, Kominfo a présenté un nouveau projet de règlement sur la gestion des organisateurs de systèmes électroniques gérés par le secteur privé (“Projet de règlement“) pour approbation. Le projet de règlement est destiné à servir de règlement d’application du règlement gouvernemental n° 71 de 2019 sur la mise en œuvre des systèmes et des transactions électroniques, qui, comme indiqué dans le document 2020 International Outlook and Review, est entré en vigueur en octobre 2019.

F. Israël

Le 29 novembre 2020, le ministère israélien de la justice (“MoJ“) a lancé une consultation publique sur l’introduction d’amendements à la loi 5741-1981 sur la protection de la vie privée.[124] Le ministère de la justice a également lancé, le 23 juillet 2020, une consultation publique sur les modifications proposées aux exigences d’enregistrement des bases de données de la loi sur la protection de la vie privée, qui réduiraient la portée de l’obligation d’enregistrer une base de données et modifieraient certaines définitions contenues dans la loi.[125]

En outre, l’autorité de protection de la vie privée (“PPA“) a publié un certain nombre de rapports et de recommandations sur une série de sujets, dont

  • la protection de la vie privée dans le cadre d’enquêtes épidémiologiques,
  • les recommandations de sécurité à la suite d’incidents de sécurité,
  • la protection de la vie privée dans le cadre des transferts d’argent et des paiements par application,
  • les prestataires de services de traitement et de stockage des données,
  • des services de transport intelligents,
  • des outils numériques de surveillance pour la recherche des contacts COVID-19,
  • Assistance du GSS dans la recherche des contacts,
  • recommandations dans le cadre de la pandémie COVID-19 (par exemple(apprentissage à distance, respect de la vie privée des personnes entrant sur le lieu de travail, respect de la vie privée des institutions médicales).

Suite à la décision de la CJUE d’annuler le bouclier de protection de la vie privée entre l’UE et les États-Unis dans Schrems IIDans cette déclaration, le PPA indiquait que les transferts de données d’Israël vers les États-Unis ne pouvaient plus se fonder sur le bouclier de protection de la vie privée UE-USA ou sur le règlement relatif au transfert d’informations, et que les autres exceptions prévues à l’article 2 du règlement ne pouvaient être utilisées que si elles étaient applicables. Le PPA avait néanmoins précisé que les données personnelles pouvaient être transférées d’Israël vers les États membres de l’UE, ainsi que vers des pays qui cesseront d’être des États membres de l’UE mais qui continueront à appliquer et à faire respecter les dispositions du droit européen sur la protection des données personnelles.[126]

En ce qui concerne l’application de la loi, en 2020, l’APP a identifié et enquêté sur un certain nombre de violations, y compris la fuite des données personnelles de 6,5 millions d’électeurs israéliens.[127] Le PPA a également offert des recommandations de sécurité à la suite de l’incident de sécurité survenu dans une compagnie d’assurance.

G. Japon

Le 5 juin 2020, le Parlement japonais a adopté un projet de loi visant à modifier la loi générale sur la protection des données actuellement applicable, la loi sur la protection des informations personnelles (“APPI”).[128]

Le projet de loi élargit les droits des personnes concernées. Par exemple, si les modifications proposées à l’APPI sont introduites, les personnes concernées auront le droit de demander à une organisation de supprimer leurs informations personnelles, mais seulement si certaines conditions sont remplies. Par conséquent, le champ d’application est resté plus étroit que le droit d’effacement et le droit d’opposition prévus par le GDPR.

En ce qui concerne les périodes de conservation des données, la loi actuellement applicable prévoit que toute donnée qui devait être effacée après six mois n’est pas considérée comme une “donnée à caractère personnel conservée”, et n’est donc pas soumise aux demandes des personnes concernées. Les amendements aboliront cette règle des six mois, et les personnes concernées pourront exercer leurs droits liés aux données, quelle que soit la période de conservation.

En vertu de la législation en vigueur, les organisations doivent “s’efforcer” de signaler les violations de données à la Commission des données personnelles (“PIC”). En revanche, le projet de loi introduira une obligation de notification des violations de données, obligeant les organisations à signaler les violations de données au PIC et à informer les personnes concernées en cas de violation de leurs droits et intérêts. Bien que cette obligation soit similaire aux dispositions correspondantes du GDPR, ce dernier fixe un délai strict de 72 heures pour la notification, tandis que le projet de loi exige une notification “rapide”.

L’APPI modifié comprendra le concept d'”informations traitées sous pseudonyme”, qui, comme le GDPR, désignera les informations personnelles qui ne peuvent être utilisées pour identifier une personne à moins d’être combinées à d’autres informations. Les informations traitées sous pseudonyme ne seront pas soumises à certaines exigences, telles que les demandes de divulgation, d’utilisation ou de correction. En cas de violation des données concernant des informations traitées sous pseudonyme, il ne sera pas obligatoire de faire rapport au CIP.

L’un des principaux objectifs du projet de loi est de faire face aux risques croissants liés aux transferts de données transfrontaliers. Selon les nouvelles dispositions, les personnes concernées doivent être informées des détails de tout transfert de données à un tiers situé dans un pays étranger. Le projet de loi a également augmenté les sanctions pénales, telles que la peine pour violation d’une ordonnance du PIC (100 millions de yens ; environ 800 000 euros). Toutefois, les amendes administratives ne seront pas introduites.

Le projet de loi devrait entrer en vigueur au plus tard en juin 2022. Les nouvelles règles aligneront davantage l’APPI sur les normes de protection des données de l’UE et renforceront le régime de protection des données du Japon.

H. Malaisie

Sur le plan législatif, le 14 février 2020, un document de consultation publique a été publié, proposant des amendements à la loi malaisienne de 2010 sur la protection des données personnelles, qui régit actuellement la protection des données en Malaisie.[129] S’ils sont adoptés, les amendements introduiraient des changements importants dans le régime de protection des données de la Malaisie, notamment : la nomination obligatoire d’un responsable de la protection des données, le signalement obligatoire des infractions, l’introduction de poursuites civiles contre les utilisateurs de données, la mise en œuvre de mesures techniques et organisationnelles telles que la portabilité des données et le respect de la vie privée dès la conception, et l’élargissement du champ d’application de la loi malaisienne sur la protection des données personnelles aux sous-traitants de données. Nombre des modifications proposées s’inspirent du GDPR et visent à rapprocher le régime malaisien des normes de protection des données de l’UE.

Le 29 mai 2020, le Département de la protection des données personnelles (“PDP“) a publié des lignes directrices consultatives sur le traitement des données personnelles par les entreprises dans le cadre de l’ordonnance conditionnelle sur le contrôle des mouvements.[130] Les lignes directrices soulignent que seuls les noms, les numéros de contact et les dates et heures de présence peuvent être collectés auprès des clients, et exigent un avis clairement visible détaillant l’objectif de la collecte. Le PDP conseille également que les données personnelles ne soient collectées qu’à des fins d’information et qu’elles soient supprimées définitivement six mois après la fin de l’ordonnance de contrôle.

I. Singapour

Comme l’explique le rapport 2020 International Outlook and Review, la protection des données à Singapour est actuellement régie par la loi de 2012 sur la protection des données personnelles (“Singapour PDPA”).

La Commission de la protection des données personnelles (“PDPC“) a procédé à un examen de la LPDP de Singapour et, le 14 mai 2020, le PDPC a publié une déclaration commune avec le ministère des communications et de l’information annonçant le lancement d’une consultation publique en ligne sur un projet de loi visant à modifier la LPDP de Singapour et la loi de 2007 sur la lutte contre le spam (“SCA”).[131]

Sur cette base, les amendements proposés au PDPA de Singapour pour répondre aux besoins évolutifs de l’économie numérique de Singapour, ainsi que les amendements connexes au SCA, ont été adoptés par le Parlement le 2 novembre 2020.[132] Le projet de loi a introduit plusieurs amendements notables, notamment des exigences de notification obligatoire des violations de données, permettant un consentement valable si nécessaire et offrant aux consommateurs une plus grande autonomie sur leurs données personnelles grâce à l’incorporation d’une obligation de portabilité des données.[133] En outre, le projet de loi a renforcé les pouvoirs d’exécution du PDPC.[134]

Par la suite, le 20 novembre 2020, le PDPC a publié le projet de lignes directrices consultatives sur les dispositions clés du projet de loi (modificative) sur la protection des données personnelles (“Projet de lignes directrices facultatives”).[135] Le projet de lignes directrices facultatives apporte des éclaircissements sur les principales dispositions du projet de loi, couvrant entre autresLe cadre pour la collecte, l’utilisation et la divulgation des données personnelles, les exigences de notification obligatoire des violations, les sanctions financières et les infractions pour le mauvais traitement des données personnelles. Le projet de lignes directrices consultatives sera finalisé et publié lorsque les modifications de l’APD de Singapour entreront en vigueur, c’est-à-direLes documents sont publiés dans la Gazette de l’Union européenne, dès leur signature et leur publication dans la Gazette, prévue pour le début de 2021.

J. Corée du Sud

En janvier 2020, l’Assemblée nationale de la République de Corée a adopté des amendements (“Loi sur les données 3“) à la loi de 2011 sur la protection des renseignements personnels (“PIPA”)[136] et aux autres principales lois sur la protection des données. L’adoption de la loi “Data 3” a signifié la mise en œuvre d’une approche plus rationnelle de la protection des données personnelles en Corée du Sud. En outre, ces changements législatifs devraient faciliter l’évaluation de l’adéquation dans le cadre du GDPR et l’adoption d’une décision d’adéquation de la Commission européenne.

La loi “Data 3” vise à étendre les pouvoirs de la Commission de protection des informations personnelles (“PIPC“), qui sera l’autorité de contrôle pour toute violation des données. Les questions de protection des données sont actuellement traitées par plusieurs agences différentes, mais avec l’entrée en vigueur des réformes, elles seront désormais traitées exclusivement par le PIPC. En outre, le PIPC aura la compétence d’imposer des amendes similaires à celles prévues par le GDPR.

La loi Data 3 a introduit dans la PIPA le concept d'”informations pseudonymisées” (c’est-à-direLes données personnelles sont traitées de manière à ne pas pouvoir être utilisées pour identifier un individu, sauf si elles sont combinées à d’autres informations.) Les informations pseudonymisées peuvent être traitées sans le consentement de la personne concernée à des fins de compilation statistique, de recherche scientifique et de conservation des dossiers dans l’intérêt du public.

Enfin, il convient de noter que le transfert transfrontalier des données à caractère personnel des personnes concernées coréennes est resté limité, car leur consentement est requis avant le transfert de leurs données à caractère personnel à l’étranger.

K. Thaïlande

Comme indiqué dans le document “2020 International Outlook and Review”, la loi de 2019 sur la protection des données personnelles (“Thaïlande PDPA“), qui est la première loi consolidée sur la protection des données en Thaïlande, devait à l’origine entrer pleinement en vigueur le 27 mai 2020. Cependant, en mai 2020, le gouvernement thaïlandais a approuvé un décret royal pour reporter l’application de la PDPA thaïlandaise au 31 mai 2021, en citant les effets négatifs de la pandémie COVID-19 comme l’une des principales raisons de cette décision.[137]

Par la suite, le 8 juin 2020, le ministère de l’économie et de la société numérique (“MDES“) a publié une déclaration sur le report du PDPA thaïlandais, notant que les agences gouvernementales, et les institutions privées et publiques, n’étaient pas prêtes à appliquer la législation.[138] Cela a été suivi d’un avis publié par le MDES le 17 juillet 2020 concernant les exigences en matière de traitement des données et les mesures de sécurité à mettre en œuvre pendant la période de report du PDPA de la Thaïlande.[139]

Il convient de mentionner que le PDPA thaïlandais est largement calqué sur le GDPR et contient de nombreuses dispositions similaires, bien qu’elles diffèrent dans des domaines tels que l’anonymisation. En outre, le PDPA thaïlandais prévoit la création du Comité de protection des données personnelles (“PDPC“), qui n’est pas encore pleinement établi. En tant que tel, le MDES agit actuellement en tant qu’autorité de contrôle pour toute question liée à la protection des données en Thaïlande. Une fois créé, le PDPC devrait adopter des avis et des règlements pour clarifier et guider les contrôleurs de données et les autres parties prenantes sur la façon de se préparer et de rester conforme aux exigences du PDPA thaïlandais d’ici le 27 mai 2021.

L. Émirats arabes unis

Le 19 novembre 2020, le marché mondial d’Abu Dhabi (“ADGM”)[140] a annoncé la publication d’une consultation publique sur la proposition de nouveau règlement sur la protection des données 2020 modifiant le règlement sur la protection des données 2015 existant.[141] Le projet proposé vise à aligner l’ADGM sur certaines normes internationales, notamment le GDPR,[142] et introduit, entre autres, les éléments suivants : définitions, principes de responsabilité et de transparence, traitement de catégories particulières de données, droits individuels, obligations de sécurité et notification des violations de données. Le cadre de protection des données proposé vise à avoir un large champ d’application, y compris le traitement de données à caractère personnel dans le cadre des activités d’un établissement au sein de l’ADGM, que le traitement ait lieu ou non au sein de l’ADGM. Dans le même ordre d’idées, il s’appliquera aux personnes physiques, quelle que soit leur nationalité ou leur lieu de résidence, à l’exclusion des cas où un responsable du traitement n’est connecté à l’ADGM que parce qu’il utilise un processeur de données situé au sein de l’ADGM. Dans ce dernier cas, la proposition de cadre pour la protection des données ne s’appliquerait pas au responsable du traitement des données.[143]

Le 1er juillet 2020, le Centre financier international de Dubaï (le “DIFC“) a publié le règlement sur la protection des données, qui est entré en vigueur à la même date que la loi n° 5 de 2020 sur la protection des données.[144] Le règlement comprend des dispositions concernant notamment le contenu et le format à respecter pour les enregistrements de traitement de données à caractère personnel, les activités nécessitant des notifications de traitement de données au commissaire à la protection des données, les conditions de transfert de données en dehors du DIFC et les amendes. En outre, en septembre 2020, la DIFC est devenue un membre pleinement accrédité de la Global Privacy Assembly (“GPA”).[145]

M. Autres développements en Afrique

Les autorités de protection des données en Afrique ont généralement surveillé le respect des exigences en matière de protection des données, notamment dans le contexte de la pandémie COVID-19. En outre, le Nigeria et d’autres nations africaines ont mis en place un cadre visant à harmoniser les lois sur la protection des données et l’économie numérique.[146]

Égypte: Le 17 juillet 2020, la résolution n° 151 de 2020 (“Égypte Loi sur la protection des données“) a été approuvé et publié au journal officiel, et est entré en vigueur dans les trois mois.[147] La loi égyptienne sur la protection des données régit le traitement des données personnelles effectué par voie électronique, en partie ou en totalité, et donne aux personnes concernées des droits en matière de traitement des données personnelles. Les éléments clés que la loi prévoit sont les suivants :

  • le consentement est la principale base juridique pour le traitement des données à caractère personnel ;
  • les conditions et principes du traitement des données doivent être respectés ;
  • le Centre pour la protection des données personnelles est l’organisme de régulation qui vise à maintenir la conformité avec la loi égyptienne sur la protection des données
  • Les activités couvertes comprennent le traitement de données personnelles sensibles, les transferts transfrontaliers, les pratiques de marketing direct électronique, les sanctions pécuniaires et les sanctions pénales pour les violations de la loi égyptienne sur la protection des données elle-même.

Kenya:[148] Le Conseil de l’industrie des technologies de l’information (“ITI“) a annoncé, le 28 avril 2020, qu’elle avait soumis des commentaires au Bureau du Représentant américain au commerce sur les négociations de l’accord commercial entre les États-Unis et la République du Kenya. Ces commentaires comprennent des mesures qui devraient assurer la protection des données personnelles en tenant compte des meilleures pratiques internationales en matière de respect de la vie privée et d’interopérabilité, renforcer les pratiques réglementaires dans les technologies émergentes telles que l’intelligence artificielle et l’apprentissage machine, et promouvoir la cybersécurité fondée sur le risque et la divulgation des vulnérabilités en conformité avec les normes internationales.[149] Les négociations officielles ont été lancées en juillet 2020.[150]

Namibie: La Namibie n’a pas encore promulgué de législation complète sur la protection des données. Le 24 février 2020, le Conseil de l’Europe a organisé, en coordination avec le ministère namibien des technologies de l’information et de la communication, un atelier de consultation des parties prenantes de deux jours sur un projet de loi sur la protection des données pour la Namibie.[151] Un projet de loi devrait être publié en 2021.

Nigeria: Au Nigeria, la confidentialité des données est actuellement protégée par un régime complet de protection des données comprenant une série de lois, de règlements et de directives. Comme le souligne une déclaration, publiée le 27 janvier 2020 par l’Agence nationale de développement des technologies de l’information (NITDA“), le règlement sur la protection des données au Nigeria concerne l’utilisation, la collecte, le stockage ou le transfert de données personnelles et vise à fournir un cadre clair pour la protection des données au Nigeria. Toutefois, conformément à la Commission nigériane des communications, des instruments juridiques appropriés doivent être mis en place afin de renforcer la cybersécurité.[152]

Le NITDA a publié, le 17 mai 2020, ses Lignes directrices pour la gestion des données personnelles par les institutions publiques au Nigeria.[153] Le 20 août 2020, la NITDA a publié le projet de loi 2020 sur la protection des données pour recueillir les commentaires du public. Le projet de loi vise principalement à promouvoir un code de pratique qui assure la protection des données personnelles et son processus légal, équitable et transparent conformément aux principes énoncés dans le projet de loi tout en tenant compte des intérêts légitimes des organisations commerciales ainsi que des agences de sécurité gouvernementales. En outre, le projet de loi prévoit la création d’un commissaire à la protection des données, une autorité de régulation impartiale, indépendante et efficace.

Afrique du Sud:[154] En 2013, la loi sur la protection des informations personnelles (“POPIA“) a été promulguée par le président de l’Afrique du Sud et le régulateur de l’information a été établi en tant qu’autorité de contrôle. En juin 2020, le Président a annoncé que certaines sections essentielles restantes de la loi POPIA commenceraient à s’appliquer le 1er juillet 2020 et que, après une période de transition de 12 mois, les organismes publics et privés devraient s’y conformer à partir du 30 juin 2021.

En outre, le 3 avril 2020, l’autorité de régulation sud-africaine a publié une note d’orientation sur le traitement des informations personnelles pendant la pandémie de coronavirus, encourageant les parties responsables à se conformer de manière proactive lors du traitement des informations personnelles appartenant aux cas COVID-19 et à leurs contacts.[155]

Togo: Le 9 décembre 2020, l’Assemblée nationale a annoncé qu’elle avait adopté un projet de décret sur l’organisation et le fonctionnement de l’organe de protection des données personnelles, l’IPDCP, qui aura un pouvoir d’investigation et d’exécution afin de soutenir la politique du gouvernement en matière de protection des données personnelles.[156]

Rwanda: Un projet final de loi sur la protection des données a été approuvé et publié le 27 octobre 2020 par le Bureau du Premier ministre de la République du Rwanda.[157] Le projet de loi comprend des dispositions sur les droits des personnes concernées, des règles générales pour la collecte et le traitement des données, et des procédures pour les activités liées aux données, telles que les transferts, le partage et la conservation.[158] Par ailleurs, le ministère des TIC et de l’innovation (MINICT) a publié, le 5 mai 2020, les lignes directrices COVID-19 concernant les mesures de cybersécurité.[159]

N. Autres développements au Moyen-Orient

Alors que la protection des données était principalement prévue dans des règlements sectoriels, des lois sur la protection de la vie privée apparaissent progressivement dans toute la région.

Oman: Le 12 juillet 2020, le Conseil d’État du Sultanat d’Oman a annoncé qu’il avait tenu des discussions sur le projet de loi sur la protection des données personnelles, qui comprend notamment des dispositions concernant le rôle du ministère des technologies et des communications, la responsabilité de protéger les droits des propriétaires de données personnelles, et les obligations des responsables de traitement et des sous-traitants, ainsi que les sanctions applicables.[160] Le Conseil d’État a également annoncé le 10 septembre 2020 qu’il avait discuté d’un projet de loi d’une nouvelle législation traitant de la cybersécurité. Le Comité de la technologie et de l’innovation du Conseil d’État a approuvé en partie le contenu du projet de loi.

Pakistan: La protection des données est toujours régie par une législation sectorielle. Toutefois, le ministère des technologies de l’information et des télécommunications (“MOITT“) a finalisé le projet de loi 2020 sur la protection des données personnelles qui a été présenté au Cabinet du Pakistan pour approbation.[161] Le projet de loi, qui a été présenté en avril 2020, prévoit les exigences générales pour la collecte et le traitement des données personnelles et contient plusieurs dispositions similaires à celles de la GDPR, mais il est muet sur le droit à la portabilité des données et n’oblige pas les responsables du traitement à notifier aux personnes concernées les violations de données. En outre, le MOITT a adopté, le 18 novembre 2020, des règles relatives aux médias sociaux établissant des mesures et des obligations applicables aux médias sociaux et aux fournisseurs d’accès à Internet afin de prévenir les contenus illicites en ligne et de protéger la sécurité nationale.[162]

O. Autres développements en Asie du Sud-Est

Tout au long de l’année 2020, des évolutions liées au paysage de la protection des données et de la cybersécurité se sont produites dans certaines autres juridictions de la sous-région sud-est de l’Asie, dont les suivantes :

Cambodge: Bien que le pays ne dispose pas d’une loi générale sur la protection des données à caractère personnel ni d’une autorité de protection des données, des développements législatifs récents ont eu lieu dans les domaines concernés. En particulier, un projet de loi sur la cybercriminalité est en cours de préparation, qui réglementerait le cyberespace et la sécurité du Cambodge, dans le but de prévenir et de combattre les crimes liés au cyberespace.

Philippines: Le 9 mars 2020, les règles transfrontalières de l’APEC en matière de protection de la vie privée (“CBPR“) a approuvé la demande des Philippines d’adhérer au système CBPR de l’APEC. Ainsi, les Philippines deviennent la neuvième économie de l’APEC à rejoindre le système CBPR.

Les institutions des Philippines ont été particulièrement actives dans la formulation de mesures et de déclarations de protection des données afin de traiter les questions relatives à la collecte et au traitement des données à la suite de la pandémie COVID-19. Le 1er juin 2020, les Philippines ont créé un groupe de travail afin d’apporter des réponses pratiques aux questions de protection de la vie privée soulevées par la pandémie.

Vietnam: Le cadre de la protection des données au Vietnam était fragmenté, et les dispositions pertinentes se trouvent dans de nombreuses lois. En 2020, le gouvernement vietnamien a publié le décret n° 15/2020/ND-CP, qui prévoit des règlements sur les sanctions pour les infractions administratives dans les secteurs de la poste, des télécommunications, des radiofréquences, des technologies de l’information et des transactions électroniques, qui est en vigueur depuis le 15 avril 2020. En février 2020, cependant, un projet de décret sur la protection des données personnelles a été publié, qui a déjà fait l’objet d’une consultation publique. Le projet de décret énonce les principes de la protection des données, y compris la limitation de la finalité, la sécurité des données, les droits des personnes concernées et la réglementation des transferts de données transfrontaliers. En outre, le projet de décret contient des dispositions sur l’obtention du consentement des personnes concernées, les mesures techniques nécessaires à la protection des données personnelles et la création d’une autorité de protection des données.

A. Brésil

Le plus grand développement en matière de protection des données au Brésil en 2020 a été l’entrée en vigueur de la loi n° 13.709 du 14 août 2018, la loi générale sur la protection des données personnelles[163] (telle que modifiée par la loi n° 13.853[164] du 8 juillet 2019) (“LGPD“) le 18 septembre 2020. Les dispositions d’application spécifiques de la LGPD devraient entrer en vigueur le 1er août 2021, suite à une loi supplémentaire adoptée en juin 2020.

Par rapport au PIBR de l’UE, la LGPD présente à la fois des différences et des similitudes. Les définitions des “données à caractère personnel” sont très similaires dans les deux instruments, qui ont tous deux pour objectif d’assurer un niveau élevé de protection pour toute “les informations relatives à une personne physique identifiée ou identifiable”. Ainsi, les données anonymisées sont expressément exclues du champ d’application dans les deux juridictions, avec une réserve du côté brésilien en ce sens que si des données anonymisées sont utilisées pour créer ou améliorer le profilage comportemental d’une personne physique, elles peuvent également être considérées comme des données à caractère personnel, à condition que la personne concernée puisse être identifiée au cours du processus.

Les deux législations s’appliquent au traitement des données à caractère personnel effectué par des entités publiques et privées, en ligne et hors ligne. Quant au champ d’application territorial, les règles s’appliquent aux organisations qui sont physiquement présentes dans l’UE et au Brésil ainsi qu’aux organisations qui, bien que non situées dans ces États ou régions, peuvent y offrir des biens ou des services. En ce qui concerne le traitement des données sensibles, la LGPD établit une liste plus restreinte de motifs juridiques qui peuvent être invoqués pour légitimer le traitement de ces données, tels que la nécessité de respecter une obligation légale, de protéger la vie et la sécurité physique de la personne concernée ou d’un tiers, d’exercer des droits dans le cadre de procédures contractuelles ou judiciaires et de prévenir la fraude.

La LGPD offre dix bases juridiques pour le traitement des données personnelles, qui sont comparables à celles fournies dans le GDPR. En outre, la LGPD offre quatre motifs supplémentaires qui peuvent autoriser le traitement de données personnelles, à savoir pour la réalisation d’études d’organismes de recherche, pour l’exercice de droits dans le cadre de procédures judiciaires, administratives et arbitrales, pour la protection de la santé dans le cadre de procédures menées par des professionnels de la santé et des entités sanitaires, et pour la protection du crédit.

La LGPD et la GDPR prévoient toutes deux expressément un ensemble de droits accordés aux personnes concernées en ce qui concerne leurs données personnelles. Les deux normes reconnaissent aux personnes le droit d’accès à leurs données personnelles, le droit d’être informé des activités de traitement basées sur leurs données personnelles, et les droits de rectification et d’effacement. Bien que les droits prescrits dans les deux textes législatifs soient assez similaires, on pourrait faire valoir que l’élément principal qui distingue les deux normes est le délai de réponse aux demandes des personnes concernées. Alors que, du côté européen, les organisations doivent généralement répondre aux demandes dans le mois suivant la réception d’une demande, la LGPD est limitée à une période de 15 jours pour répondre aux demandes d’accès, alors que les demandes d’exercice d’autres droits doivent être traitées immédiatement.

Le rôle des délégués à la protection des données (“DPD“) est assez similaire dans les deux législations. Les DPD sont légalement chargés d’agir comme point de contact entre l’organisation qu’ils représentent, les autorités de contrôle et les personnes concernées, ainsi que de conseiller et d’orienter l’organisation qu’ils représentent en ce qui concerne ses obligations en matière de protection des données. Il existe toutefois deux différences majeures entre les règles brésiliennes et européennes concernant la position des DPD. La première est que la GDPR précise expressément les cas dans lesquels une organisation est tenue de désigner un DPD, alors que la LGPD ne prévoit aucune limitation de ce type, obligeant ainsi pratiquement toutes les organisations relevant de son champ d’application à en désigner un. La deuxième différence est que, alors que la GDPR établit la nécessité pour les DPD d’être indépendants au sein de la structure organisationnelle de leurs organisations et de disposer de ressources monétaires et humaines pour remplir leurs tâches, la LGPD ne fournit pas de telles directives expresses.

Une différence importante entre les deux instruments est leur application. La structure juridique de l’autorité de surveillance brésilienne manque de certains traits d’indépendance et d’autonomie par rapport à la structure prévue par la GDPR. Toutefois, la LGPD a introduit un certain nombre de sanctions qui peuvent être imposées par l’ANPD, telles que la divulgation publique d’une violation, l’effacement des données personnelles relatives à une violation, et même une suspension temporaire des activités de traitement des données. L’entrée en vigueur des dispositions de la LGPD régissant les sanctions administratives a été reportée au 1er août 2021.

Le 23 septembre 2020, projet de loi 4695/2020,[165] visant à protéger les informations personnelles des étudiants lors de l’utilisation des plates-formes d’apprentissage à distance, a été introduite. Le projet de loi exigerait que les plates-formes d’enseignement à distance respectent les exigences de traitement des données fournies par le LGPD et qu’elles utilisent, dans la mesure du possible, la technologie sans collecter et partager des données personnelles et sensibles, révélant l’origine raciale, les croyances religieuses ou politiques, ou la génétique des utilisateurs. En outre, le projet de loi exige que le traitement des données personnelles ne puisse avoir lieu que si un consentement préalable et explicite a été obtenu.

Enfin, le 18 décembre 2020, l’Agence nationale des télécommunications (“Anatel“) a approuvé le règlement sur la cybersécurité[166] appliquée au secteur des télécommunications. Le règlement vise à promouvoir la cybersécurité dans les réseaux et services de télécommunications et à soutenir la surveillance continue du marché, des infrastructures et l’adoption de mesures correctives proportionnelles. En outre, le règlement impose aux fournisseurs de télécommunications l’obligation d’élaborer, de maintenir et de mettre en œuvre une politique de cybersécurité détaillée, qui doit comprendre, entre autresLe système de gestion des risques d’Anatel est basé sur les normes nationales et internationales, les meilleures pratiques, la cartographie des risques, le temps de réponse aux incidents, le partage et l’envoi d’informations à Anatel. Le règlement est entré en vigueur le 4 janvier 2021.

B. Autres développements en Amérique du Sud

1. Argentine

Le 28 janvier 2020, l’autorité argentine de protection des données (“AAIP“) a émis une résolution[167] contre une société de télécommunications pour violation de la loi n° 26.951 (“Loi sur les DNC”).[168] En particulier, l’AAIP a infligé une amende de 3 000 000 ARS (environ 45 000 €) pour 248 chefs d’accusation relatifs à des violations de l’article 7 de la loi DNC, qui prévoit que ceux qui font de la publicité, offrent, vendent ou donnent des biens ou des services par le biais de communications téléphoniques ne peuvent s’adresser à une personne inscrite au registre “Do Not Call”.

Le 6 juin 2020, l’AAIP a infligé une amende[169] de 280 000 ARS (environ 3 770 €) contre une société de technologie pour violation de la loi n° 25.326 de 2000 sur la protection des données personnelles. En particulier, l’AAIP a constaté que la société n’avait pas autorisé un utilisateur à accéder à ses données personnelles dans son compte de messagerie et ses applications connexes après que des modifications aient été apportées à son mot de passe par un tiers non autorisé.

2. Chili

Le 1er juin 2020, le Conseil chilien de la transparence (“CPLT“) a annoncé qu’un audit portant sur 12 000 bons de commande passés par 86 organisations du secteur de la santé avait révélé certaines divulgations de données personnelles sensibles de patients sans leur consentement explicite.[170] En outre, la CPLT a souligné que dans certains cas, les données avaient même été rendues publiques par le biais de plateformes en ligne. Pour remédier à cela, la CPLT a offert un soutien technique au ministère chilien de la santé.[171]

3. Colombie

Le 26 novembre 2020, l’autorité colombienne de protection des données (“SIC“) a annoncé qu’il avait émis un ordre[172] exiger d’un fournisseur de services de vidéoconférence (sans présence physique en Colombie) qu’il mette en œuvre de nouvelles mesures garantissant la sécurité des données personnelles de ses utilisateurs en Colombie. SIC a souligné que ces mesures devaient être efficaces et répondre aux normes de sécurité des données exigées par la loi colombienne sur la protection des données, et a exigé de l’entreprise qu’elle fournisse un certificat délivré par un expert indépendant en matière de sécurité des données. L’ordonnance de SIC soulève une importante question de compétence, puisque la loi colombienne sur la protection des données ne s’applique pas aux traitements qui ont lieu en dehors de la Colombie (et il n’a pas été allégué qu’un traitement en violation de la loi ait eu lieu en Colombie).[172a]

Jusqu’en 2020, SIC a également imposé un certain nombre d’amendes à diverses entreprises pour non-respect des règles de protection des données. Certaines des amendes les plus importantes et les plus notoires ont été infligées à une société de santé[173] et sur les institutions financières[174]

4. Mexique

Depuis le début de la pandémie COVID-19, l’autorité mexicaine de protection des données, l’Institut national de transparence, d’accès à l’information et de protection des données (“INAI“) a lancé une série d’actions visant à informer le grand public sur la manière de protéger ses données personnelles et les lignes directrices à l’intention des responsables du traitement des données sur la manière de traiter les données personnelles et sensibles.

Parmi ces actions, il est devenu impératif d’annoncer aux responsables des traitements des données relatives à la santé, des hôpitaux publics et privés, de se conformer à leurs obligations légales selon les lois mexicaines de protection des données, sur la manière de traiter les données personnelles des patients diagnostiqués avec COVID-19. Cela a été particulièrement le cas parce que les lois mexicaines sur la protection des données considèrent que les données relatives à la santé sont sensibles et nécessitent donc des mesures de sécurité plus strictes.

L’une des premières actions de l’autorité mexicaine de protection des données a été le lancement, le 29 mars 2020, d’un microsite COVID-19[175] qui se consacre spécifiquement à fournir des informations et des lignes directrices utiles pour protéger les données personnelles et assurer la transparence pendant la pandémie. Ce microsite a été un outil utile tant pour les personnes concernées que pour les responsables du traitement pour traiter les données à caractère personnel traitées à la suite de la pandémie COVID-19.

Le 2 avril 2020, l’INAI a publié une déclaration appelant à l’adoption de précautions extrêmes en ce qui concerne les données personnelles des patients COVID-19.[176] Le personnel médical qui traite ces données doit utiliser des garanties administratives, physiques et techniques strictes pour éviter toute perte, destruction ou utilisation abusive. L’INAI a également recommandé que seules les données personnelles minimales nécessaires soient collectées, et uniquement dans le but de prévenir et de contenir la propagation du virus. Cette communication parle également de la responsabilité qui incombe à tous les responsables du traitement des données lorsqu’ils traitent des données à caractère personnel.

Alors que la pandémie se développe, le 13 juillet 2020, l’INAI a exprimé ses inquiétudes sur les lacunes du secteur de la santé dans le traitement des données personnelles des patients COVID-19. Francisco Javier Acuña Llamas, le commissaire président de l’INAI de l’époque, a fait remarquer que les bases de données qui contiennent des patients COVID-19 doivent être conservées pendant une période de temps spécifique et non pas indéfiniment. Il a établi que tous les transferts de données personnelles sensibles devraient être soumis aux spécificités des lois mexicaines sur la protection des données. Il a également reconnu que l’Assemblée mondiale sur la protection de la vie privée, qui se tiendra au Mexique en 2021, devrait avoir pour thème central une discussion sur l’impact de la pandémie.[177]

La pandémie a entraîné une série d’événements qui n’avaient pas été pris en compte de manière régulière, car de nombreuses entreprises ont permis à leurs employés de travailler à domicile. En raison de cette évolution, le 8 avril 2020, l’INAI a publié des recommandations pour la protection des données personnelles dans un environnement de travail à domicile. Ces lignes directrices soulignaient la nécessité de mettre en œuvre des mesures de sécurité comprenant l’utilisation exclusive du matériel informatique fourni par l’employeur, la non-utilisation des connexions publiques, l’utilisation exclusive des sites de communication officiels pour le partage des informations et l’utilisation de mots de passe sur tous les équipements utilisés à domicile pour les activités liées au travail.[178]

Au Mexique, cela a entraîné des changements législatifs dans la loi fédérale sur le travail[179] qui établit maintenant la manière dont le travail à domicile doit être réglementé. Ces modifications de la loi établissent les obligations des employeurs et des employés lorsqu’ils travaillent à domicile. Cela montre qu’en raison de la pandémie de COVID-19, une nouvelle normalité est en cours et sera là pour durer.

Cette pandémie est loin d’être terminée et elle pose un défi non seulement au traitement des données personnelles sensibles, mais aussi à la mise en place de points de contrôle sanitaire dans chaque espace public ou lors du travail à domicile. Elle a modifié la manière dont les organisations protègent leurs informations contre toute perte ou tout accès inapproprié, plaçant la cybersécurité au premier plan pour toute organisation. Elle a changé la façon dont les organisations interagissent avec leurs clients et dont les produits ou services sont achetés, se tournant de plus en plus vers une activité de commerce en ligne. Cela va entraîner des défis non seulement en ce qui concerne les opérations des entreprises, mais aussi la manière dont les entreprises collectent et traitent les informations des personnes concernées.

5. Uruguay

Le 21 février 2020, le Conseil des ministres a adopté le décret n° 64/020 sur la réglementation des articles 37-40 de la loi n° 19.670 du 15 octobre 2018 et de l’article 12 de la loi n° 18.331 du 8 novembre 2008.[180]

Le décret réglemente les nouvelles obligations en matière de protection des données personnelles avec des changements majeurs, notamment l’obligation pour tous les propriétaires de bases de données et les contrôleurs de données de signaler les incidents de sécurité impliquant des données personnelles à l’autorité uruguayenne de protection des données dans un délai maximum de 72 heures. Les rapports doivent contenir des informations pertinentes relatives à l’incident de sécurité, y compris la date réelle ou estimée de la violation, la nature des données personnelles concernées et les impacts possibles de la violation.

Le décret établit l’obligation d’évaluer l’impact d’une violation lorsque le traitement des données implique des données spécialement protégées, de grands volumes de données personnelles (c’est-à-dire les données de plus de 35 000 personnes) et des transferts internationaux de données vers des pays n’offrant pas un niveau de protection adéquat. Le décret oblige les entités publiques et les entités privées qui se concentrent sur le traitement de données personnelles sensibles ou de grands volumes de données à désigner un responsable de la protection des données.


[10] Voir, par exemplehttps://www.enisa.europa.eu/news/executive-news/top-tips-for-cybersecurity-when-working-remotely. Le 15 mars 2020, le directeur de l’ENISA a partagé quelques points de vue sur les conditions de télétravail lors de la COVID-19. Le directeur a recommandé aux personnes de travailler avec une connexion Wi-Fi sécurisée et de disposer de logiciels de sécurité à jour, de mettre régulièrement à jour leurs systèmes anti-virus et de faire des sauvegardes périodiques. Les employeurs devraient également fournir un retour d’information régulier à leurs employés sur les procédures à suivre en cas de problèmes.

[51] Les décisions d’adéquation adoptées par la Commission européenne couvrent actuellement Andorre, l’Argentine, le Canada (organisations commerciales uniquement), les îles Féroé, Guernesey, l’île de Man, Israël, le Japon (organisations du secteur privé uniquement), Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay.

[53] Voir Annexe 21 de la loi de 2018 sur la protection des données, telle que promulguée par le règlement de 2019 sur la protection des données, la vie privée et les communications électroniques (modifications, etc.) (sortie de l’UE).

[70] Les lois russes définissent la notion de contenu illégal de manière large. Les contenus illégaux sont notamment les matériels contenant des appels publics à des activités terroristes ou justifiant publiquement le terrorisme, d’autres matériels extrémistes, ainsi que les matériels faisant la promotion de la pornographie, du culte de la violence et de la cruauté, et les matériels contenant un langage obscène.

[72] Voir PIDAA révisé, article 3.

[73] Voir PADF révisé, article 5(a).

[74] Voir PADF révisé, article 5(c).

[75] Voir PADF révisé, article 5(f).

[76] Voir PIDAA révisé, article 5, points j) et k).

[77] Voir PIDAA révisé, article 7.

[78] Voir PIDAA révisé, article 9, paragraphe 3.

[79] Voir PIDAA révisé, article 12.

[80] Voir PIDAA révisé, article 14.

[81] Voir PIDAA révisé, article 19.

[82] Voir PIDAA révisé, article 21.

[83] Voir PIDAA révisé, article 22.

[84] Voir PIDAA révisé, article 24.

[85] Voir PIDAA révisé, article 28.

[86] Voir PIDAA révisé, articles 60-63.

[102] Voir Article 62 du projet de PIPL.

[103] Voir Article 42 du projet de PIPL.

[105] Voir Article 29 du projet de PIPL.

[140] L’AGDM est une zone franche financière au sein des EAU.

[143] Cette explication est tirée de Data Guidance – AGDM.

[150] Voir “Déclaration conjointe entre les États-Unis et le Kenya sur le lancement des négociations en vue d’un accord de libre-échange” (7 août 2020), disponible à l’adressehttps://ustr.gov/node/10204.

[174] Pour la première banque, l’amende imposée était de 702 000 000 de pesos colombiens (environ 171 400 euros) pour avoir inclus des informations qui n’étaient pas de nature financière ou de crédit dans l’historique de crédit de 288 753 Colombiens. Résolution complète disponible à l’adressehttps://www.sic.gov.co/sites/default/files/files/Normativa/Resoluciones/SANCIO%CC%81N%20CIFIN.pdf ; pour la deuxième banque, l’amende infligée était de 269 046 492 CDP (environ 60 030 euros) pour violation du droit d’effacement d’une personne concernée. Résolution complète du SIC disponible à l’adressehttps://www.sic.gov.co/sites/default/files/files/Normativa/Resoluciones/19-141889%20VP.pdf ; pour la troisième banque, l’amende imposée était de 356.070.000 COP (environ 80.910 €) pour violation de la loi 1581 de 2012 et du décret 4886 de 2011. Décision complète de la SIC disponible à l’adressehttps://www.sic.gov.co/sites/default/files/files/Noticias/2019/RE10720-2020(1).pdf.


Les avocats suivants de Gibson Dunn ont participé à la préparation de cet article : Ahmed Baladi, Alexander Southwell, Alejandro Guerrero, Vera Lukic et Clémence Pugnet.

Les avocats de Gibson Dunn sont à votre disposition pour répondre à toutes les questions que vous pourriez avoir concernant ces développements. Veuillez contacter l’avocat Gibson Dunn avec lequel vous travaillez habituellement, les auteurs ou tout membre du groupe de pratique Vie privée, cybersécurité et protection des consommateurs du cabinet :

Europe
Ahmed Baladi – Co-président, PCCP Practice, Paris (+33 (0)1 56 43 13 00, abaladi@gibsondunn.com)
James A. Cox – Londres (+44 (0) 20 7071 4250, jacox@gibsondunn.com)
Patrick Doris – Londres (+44 (0) 20 7071 4276, pdoris@gibsondunn.com)
Kai Gesing – Munich (+49 89 189 33-180, kgesing@gibsondunn.com)
Bernard Grinspan – Paris (+33 (0)1 56 43 13 00, bgrinspan@gibsondunn.com)
Penny Madden – Londres (+44 (0) 20 7071 4226, pmadden@gibsondunn.com)
Michael Walther – Munich (+49 89 189 33-180, mwalther@gibsondunn.com)
Alejandro Guerrero – Bruxelles (+32 2 554 7218, aguerrero@gibsondunn.com)
Vera Lukic – Paris (+33 (0)1 56 43 13 00, vlukic@gibsondunn.com)
Sarah Wazen – Londres (+44 (0) 20 7071 4203, swazen@gibsondunn.com)

Asie
Kelly Austin – Hong Kong (+852 2214 3788, kaustin@gibsondunn.com)
Connell O’Neill – Hong Kong (+852 2214 3812, coneill@gibsondunn.com)
Jai S. Pathak – Singapour (+65 6507 3683, jpathak@gibsondunn.com)

États-Unis
Alexander H. Southwell – Co-président, PCCP Practice, New York (+1 212-351-3981, asouthwell@gibsondunn.com)
Debra Wong Yang – Los Angeles (+1 213-229-7472, dwongyang@gibsondunn.com)
Matthew Benjamin – New York (+1 212-351-4079, mbenjamin@gibsondunn.com)
Ryan T. Bergsieker – Denver (+1 303-298-5774, rbergsieker@gibsondunn.com)
Howard S. Hogan – Washington, D.C. (+1 202-887-3640, hhogan@gibsondunn.com)
Joshua A. Jessen – Orange County/Palo Alto (+1 949-451-4114/+1 650-849-5375, jjessen@gibsondunn.com)
Kristin A. Linsley – San Francisco (+1 415-393-8395, klinsley@gibsondunn.com)
H. Mark Lyon – Palo Alto (+1 650-849-5307, mlyon@gibsondunn.com)
Karl G. Nelson – Dallas (+1 214-698-3203, knelson@gibsondunn.com)
Ashley Rogers – Dallas (+1 214-698-3316, arogers@gibsondunn.com)
Deborah L. Stein – Los Angeles (+1 213-229-7164, dstein@gibsondunn.com)
Eric D. Vandevelde – Los Angeles (+1 213-229-7186, evandevelde@gibsondunn.com)
Benjamin B. Wagner – Palo Alto (+1 650-849-5395, bwagner@gibsondunn.com)
Michael Li-Ming Wong – San Francisco/Palo Alto (+1 415-393-8333/+1 650-849-5393, mwong@gibsondunn.com)
Cassandra L. Gaedt-Sheckter – Palo Alto (+1 650-849-5203, cgaedt-sheckter@gibsondunn.com)

2021 Gibson, Dunn &amp ; Crutcher LLP

Publicité de l’avocat : Les documents ci-joints ont été préparés à des fins d’information générale uniquement et ne sont pas destinés à servir de conseil juridique.