LA DATA : Un écho international

June 27, 2022

La protection des données personnes aux Emirats Arabes Unis

Ces dernières années ont témoigné de la montée en puissance de la data. Cette notion couvre toute traces informatiques laissées par un utilisateur de télécommunication. En disposant de ces informations personnelles, quiconque peut se voir octroyer des connaissances précieuses sur une population concernée, de telle sorte qu’un véritable marché parallèle de la data a fait son apparition. En conséquence, des millions d’entre elles sont volées et utilisées à travers le monde. Afin de répondre à cette menace grandissante, les États sont forcés d’adapter leur système juridique.

En 2021, Les Émirats Arabes Unis (EAU) ont adopté l’une des plus grandes réformes législatives de leur histoire en introduisant entre autres un cadre pour régir la protection des données. Ces mesures ont conduit à l’approbation du décret-loi n°44 sur l’établissement du bureau de protection des données (la loi sur le DPD) et du décret n°45 sur la protection des données personnelles (la loi sur la protection des données). Ces dispositions poursuivent des axes directeurs fondamentaux qui permettent d’assurer une meilleure protection et une mise en sécurité des données privées. Le champ d’application des lois en question s’étend aux résidents du pays, à ceux qui y travaillent ou au traitement des données par les sous- traitants ou les responsables du traitement au sein des EAU et même au-delà, si la personne concernée se trouve sur le territoire. Le respect des intérêts privés est une préoccupation majeure. De ce fait, le consentement occupe une place centrale et il doit nécessairement être établi de manière expresse, hormis lorsque des principes, tels que l’intérêt public ou la santé publique prédomine. Par conséquent, pour faire preuve de davantage de transparence, les organisations doivent mettre en place des mesures, telles que des demandes de consentement. Le propriétaire des données aura ainsi le droit de demander leur rectification ou leur destruction, si elles s’avèrent inexactes, mais cela peut toutefois être refusé, s’il y a concurrence avec une autre loi qui les exige.

Ces mesures induisent une surveillance avisée des responsables du traitement et des sous-traitants. Différentes obligations encadrent leurs comportements, notamment envers les propriétaires des données. Le partage régulier d’informations ou l’assurance d’un suivi optimal sont des contraintes qui en font partie. Dans certains cas plus sensibles (si le traitement présente un risque élevé, implique une évaluation détaillée ou des volumes importants ou bien encore, concerne des informations personnelles sensibles), ils se voient dans l’obligation de nommer un délégué qui s’assure du bon agissement du responsable du traitement ou du sous-traitant. Ce dernier veille au respect de la loi sur la protection des données, ses règlements d’application et les instructions du DPD. Ce dernier supervise tout le domaine de la protection des données si bien qu’il peut tout autant se charger de légiférer que de superviser la signalisation des violations.

Ces dispositions s’inscrivent au mieux dans l’actualité internationale. La data est partout et nécessite un renforcement général et constant des cadres juridiques.

La DATA au coeur d’un conflit Etats-Unis/Suisse

Dans l’arrêt 6B_216/2020 du 1 novembre 2021, le Tribunal fédéral a jugé une affaire qui traitait de la place de la data au coeur d’un conflit international. En confirmant sa volonté de condamner un gestionnaire de fortune pour actes illicites au profit d’un état étranger, le Tribunal fédéral détermine l’ampleur de la loi et se positionne quant aux rapports entre l’art. 271 du code pénal (actes exécutés sans droit pour un État étranger) et l’utilisation des données personnelles suisses à l’étranger.

Dans un contexte conflictuel entre les États-Unis et la Suisse, une société de gestion de fortune a pris connaissance du non-respect des obligations de certains clients envers les États-Unis. Afin de remédier à cette problématique, le Président du conseil d’administration s’est dénoncé auprès du département américain de la justice (DOJ). Le DOJ a alors refusé de considérer la voie de l’entraide pour obtenir les données personnelles des clients. En novembre 2013, afin de parvenir à la conclusion d’un Non-Prosecution Agreement, le Président du conseil d’administration s’est rendu sur le territoire américain pour divulguer, à l’aide d’une clé USB, plus de 109 dossiers de clients.

Les juges de Mon Repos ont précisé les limites de l’art. 271 al. 1 CP, en avançant que ce dernier avait pour vocation la protection de la souveraineté suisse en empêchant l’exercice d’un pouvoir étatique étranger sur le territoire national. En conséquence, la remise, depuis la Suisse, d’informations et de documents qui, au sens du droit helvète, ne peuvent être transmis à l’étranger que sur ordre d’une autorité nationale, porte directement atteinte au bien juridique protégé par l’art. 271 ch. 1 CP.

Selon certains auteurs, il aurait pu en être autrement si les données avaient été aussi disponibles dans l’État de la procédure. Tel n’est pas le cas en l’espèce, puisque les informations proviennent directement de la Suisse et ont été transportées vers les États-Unis à l’aide d’une clé USB.

En ce qui concerne Dubaï, les dispositions adoptées prévoient que les transferts de données entre juridictions seront approuvés par le DPD sous certaines conditions. En effet, le pays destinataire doit disposer de protection et contrôles législatifs pour la sauvegarde des données ou faire l’objet d’un traité bilatéral ou multilatéral relatif à la protection des données personnelles.

La data est une notion changeante et non délimitée qui force et continuera de forcer les juridictions à tracer des contours toujours plus nets, dans l’intérêt de leurs ressortissants et de la sécurité du droit. Articuler un concept en plein essor est un défi ardu, d’autant plus s’il en va des libertés de chacun.

THE GOVERNANCE LAW FIRM

You may also like…

Corporate Tax Law : UAE

Corporate Tax Law : UAE

In early December, the Ministry of Finance (MoF) of the United Arab Emirates (UAE) issued Federal Decree-Law No. 47 of...

EAU : NOUVEAU REGIME DES VISAS

EAU : NOUVEAU REGIME DES VISAS

Le 3 octobre dernier, des changements notables en matière de visa sont entrés en vigueur aux Émirats Arabes Unis...

In the (free) zone

In the (free) zone

Julien Dif provides an overview of recently updated anti-money laundering rules in the Dubai international financial...