Geekly articles weekly

Protection des données personnelles de 3 milliards de personnes - similitudes et différences de législation dans les pays BRICS



Lors de sa réunion du 26 octobre 2017, le Conseil de sécurité russe a chargé le ministère des Communications et le ministère des Affaires étrangères de la Russie d'engager, dans le cadre des BRICS (Brésil, Russie, Inde, Chine et Afrique du Sud), la discussion sur la création de son propre «système de double racine». "serveurs de noms de domaine (DNS), indépendants du contrôle des [organisations internationales] ICANN, IANA et VeriSign, et capables de répondre aux demandes des utilisateurs de ces pays en cas de pannes ou d'impacts ciblés."

À la lumière de ces événements, nous voudrions examiner la question de la cohérence des lois des pays BRICS en matière de protection des données. De plus, nous nous concentrerons sur la protection des données personnelles: sur la base de quelles lois sont basées sur la protection et quels sont les principaux inconvénients.

Une petite digression dans les bases.

BRICS est un groupe de cinq pays: le Brésil, la Russie, l'Inde, la Chine et la République d'Afrique du Sud.

Le 9 juillet 2015, lors du VIIe sommet des BRICS, tenu à Oufa, la Déclaration d'Oufa a été adoptée. La déclaration est volumineuse, elle touche à de nombreuses questions d'actualité à l'échelle mondiale, mais nous n'aborderons qu'un seul point dans lequel les relations avec les technologies de l'information et de la communication sont déclarées. Ainsi, le paragraphe 33 de la Déclaration d'Oufa note:

  • la nécessité de renforcer la coopération dans le domaine des TIC, y compris Internet
  • la décision de créer au sein du groupe de travail BRICS sur la coopération dans le domaine des TIC
  • la nécessité de former un système
  • assurer la confidentialité et la protection des informations personnelles des utilisateurs

«Nous réitérons l'inadmissibilité d'utiliser les TIC et Internet pour violer les droits de l'homme et les libertés fondamentales, y compris le droit à la vie privée, et réaffirmons que les droits qu'une personne a en dehors de l'Internet doivent également y être protégés.»

Le texte complet de la déclaration est disponible ici .



Points forts de la protection des données personnelles dans les pays BRICS


Protection PD dans la Fédération de Russie


À ce jour, la Fédération de Russie parmi les pays BRIC a le plus avancé à cet égard, nous notons les principaux points qui ont été faits dans le cadre de la question de la défense des PD.

Une législation a été élaborée dans le domaine de la protection contre la MP, qui comprend:

  • normes de la Constitution (articles 23, 24);
  • loi spéciale - Loi fédérale de la Fédération de Russie du 27 juillet 2006 n ° 152- «sur les données personnelles»;
  • normes des lois de l'industrie;
  • règlements.

Par ailleurs, un organisme spécial habilité a été créé, dont l'activité assure:

  • le fonctionnement efficace d'un système centralisé de contrôle et de supervision de la mise en œuvre des exigences légales;
  • examen des recours des sujets de données personnelles;
  • tenir un registre des opérateurs de PD;
  • travail d'information avec les citoyens et les opérateurs de DP.

Il convient également de noter qu'une pratique uniforme d'application de la loi se met progressivement en place. À l'heure actuelle, un système de protection contre les MP conforme aux normes internationales existe en Russie et il est opérationnel.

Si vous n'avez pas suffisamment de clarté concernant le traitement des données personnelles conformément aux actes juridiques réglementaires de la Fédération de Russie et que vous souhaitez avoir une compréhension plus complète de la loi, nous vous recommandons de vous familiariser avec notre Livre blanc sur la loi fédérale n ° 152 .

Protection PD en Chine


Ici, tout est compliqué. Il n'y a pas de loi générale spéciale sur la protection des PD. Cependant, regardons les points principaux.

La Constitution de la RPC garantit la protection de la dignité de la personne et le secret de la correspondance. Les dispositions relatives à la protection des PD sont contenues dans des actes juridiques distincts, nous allons maintenant les examiner brièvement.

Le 05 novembre 2012, les «Lignes directrices pour la protection des informations personnelles dans le système d'information pour la fourniture de services publics et commerciaux» ont été adoptées, dans lesquelles la définition suivante a été donnée:

Données personnelles - toute information sur un individu spécifique, qui en elle-même ou en combinaison avec d'autres informations permet de l'identifier

La direction établit le devoir de l'opérateur PD d'obtenir le consentement du sujet PD pour le traitement et de l'informer de la finalité du traitement, de la durée de conservation, des mesures de protection du PD et ainsi de suite.

Quant à la localisation de PD, on nous en parle à l'article 5.4.5:

En l'absence d'un consentement clair du sujet de la PD, d'une autorisation réglementaire ou du consentement des organismes autorisés, l'exploitant de la PD ne doit pas transférer la PD à toute personne située à l'étranger, y compris toute personne résidant à l'étranger, ou toute organisation et entreprise enregistrée à l'étranger.

De plus, les données personnelles sont également mentionnées dans la loi sur la protection des consommateurs adoptée le 25 octobre 2013:

Article 29. Lors de la collecte et de l'utilisation des données personnelles des individus, les entrepreneurs sont tenus de respecter les principes de légalité, de validité et de nécessité, d'informer explicitement sur le but, les méthodes et les limites de la collecte et de l'utilisation des informations et d'obtenir le consentement du consommateur.

Les entrepreneurs sont tenus de prendre les mesures techniques et autres nécessaires pour garantir la sécurité des informations et empêcher la divulgation ou la fuite de PD des consommateurs.

Une amende administrative grave est prévue pour non-respect de la loi.

En outre, il existe un certain nombre d'actes juridiques qui, d'une manière ou d'une autre, affectent la protection des personnes atteintes de MP.

  • La loi de 2009 sur la responsabilité délictuelle de la RPC, qui protège le droit à la vie privée et, en particulier, prévoit la responsabilité d'un établissement médical pour la distribution de la MP sans le consentement du sujet de la PD
  • "La décision de renforcer la protection des informations sur Internet", adoptée par le Parlement chinois le 12.28.2012
  • «Règlement sur les télécommunications et la protection des informations personnelles des internautes», adopté le 19 juillet 2013
  • Le 15 mars 2015, les «Responsabilités de violation des droits et intérêts des consommateurs» sont entrées en vigueur, développées et adoptées par l'Administration d'État pour l'industrie et le commerce de Chine (SAIC).

Le dernier acte mentionné présente un intérêt particulier en ce qui concerne la définition des données personnelles dans le contexte de la protection des consommateurs. Selon les mesures, les données suivantes sont liées à la PD des consommateurs:

  1. nom
  2. sexe
  3. profession;
  4. date de naissance;
  5. numéro de passeport;
  6. Adresse
  7. coordonnées;
  8. informations sur les revenus et les biens;
  9. information sur la santé;
  10. habitudes de consommation.

Le 1er juin 2017, la loi sur la cybersécurité est entrée en vigueur. La loi sur la cybersécurité est la première loi consolidée régissant presque tous les problèmes dans ce domaine en Chine. Y compris, bien sûr, cela s'applique à PD.

Le stockage des données à caractère personnel et d'autres données importantes devrait être assuré exclusivement sur le territoire de la RPC (article 37).

La loi sur la cybersécurité confirme les obligations des opérateurs de réseau en matière de protection des informations personnelles, qui sont déterminées par la législation et les exigences réglementaires existantes, y compris le droit de contrôler le respect du principe de légalité, la nécessité et la pertinence de la collecte et de l'utilisation des données personnelles, ainsi que le droit de surveiller la mise en œuvre des «exigences en matière d'informations et de réception». consentement »(article 41) sur l'utilisation des données à caractère personnel uniquement aux fins pour lesquelles la personne concernée a consenti (article 41), le droit de prendre des mesures pour protéger la sécurité des données personnelles (article 42) et protéger le droit individuel d'évaluer et de corriger les informations personnelles (article 43).

En outre, la loi sur la cybersécurité comprend également de nouvelles règles concernant la protection des données personnelles, y compris des exigences de notification de violation de la protection des données (article 42), l'anonymisation des données en tant qu'exception aux exigences d'information et d'obtention du consentement (article 42), ainsi que sur le droit de l'individu de demander aux opérateurs de réseau de modifier ou de supprimer ses données personnelles si les informations le concernant sont erronées ou sont utilisées à des fins incompatibles avec lui (article 43).

Les principaux problèmes de protection PD en Chine sont les suivants:

  • absence d'un organisme autorisé pour la protection de la MP;
  • absence d'une seule loi spéciale sur la DP;
  • absence d'un cadre conceptuel unique (eh bien, cela ne se passe pas bien avec nous non plus);
  • les règles de base pour la protection des PD sont contenues dans des actes juridiques à caractère consultatif (par exemple, le Guide);
  • absence de notification sur le traitement de PD et le registre des opérateurs impliqués dans le traitement de PD.

Protection PD au Brésil


La Constitution brésilienne protège la dignité humaine, l'intimité et l'intimité de la correspondance. De même qu'en Chine, il n'existe pas de loi générale sur la protection des PD et des dispositions sur la protection des PD sont contenues dans des actes juridiques distincts.

Loi brésilienne sur Internet (Marco Civil da Internet) du 04.23.2014.:

  • Il établit les principes généraux d'utilisation d'Internet, les droits et garanties des utilisateurs, les obligations des fournisseurs et les règles de fourniture de services sur Internet.
  • La loi contient un grand nombre de règles concernant la protection de la vie privée et des données personnelles.
  • Pour traiter les points d'accès sur Internet, vous devez obtenir le consentement volontaire et éclairé de l'utilisateur.
  • Le traitement PD n'est autorisé que dans un but spécifique, ce qui est indiqué dans l'accord d'utilisation ou dans les règles d'utilisation des services Internet

Quant à la localisation de PD. Initialement, le projet de loi contenait des exigences pour le stockage de PD des citoyens brésiliens dans l'État. Dans les éditions ultérieures, cette disposition a été exclue, mais le droit du Président a été introduit pour édicter des décrets à ce sujet. Dans la version finale adoptée de la loi, la question de la localisation des données n'est pas soulevée. L'exclusion de cette exigence de la loi est le résultat du lobbying des sociétés internationales et des États-Unis.

La décision de la loi sur la compétence (article 11) est particulièrement intéressante. La règle générale est la suivante:

Les fournisseurs Internet et les fournisseurs d'applications Internet sont tenus de se conformer aux lois brésiliennes, y compris la protection des PD, si au moins une des activités de collecte, de stockage ou de traitement des PD a lieu sur le territoire national du Brésil.

Mais il y a des conditions supplémentaires:

  1. La règle générale s'applique aux PD collectés au Brésil et au contenu des communications si au moins un des terminaux est situé au Brésil
  2. La règle générale s'applique même lorsque ces activités sont exercées par une entité juridique étrangère, à condition que:
a) une entité juridique étrangère fournit des services à un nombre illimité de personnes au Brésil;
soit
b) au moins une des personnes appartenant au groupe de sociétés étrangères est établie au Brésil.

Protection PD au Brésil, les principaux problèmes:

  • absence d'un organisme autorisé pour la protection de la MP;
  • absence d'une seule loi spéciale sur la DP;
  • absence d'une définition unifiée des données personnelles;
  • absence de définition de catégories spéciales de DP (données personnelles sensibles);
  • manque de protection des PD dans certains secteurs et industries, à l'exception d'Internet;
  • absence de notification sur le traitement de PD et le registre des opérateurs impliqués dans le traitement de PD.

Protection PD en Inde


L'article 21 de la Constitution indienne garantit à chacun le droit à la vie et à la liberté personnelle.

Il n'y a pas de loi générale spéciale sur la protection de la MP en Inde.

La loi de 2000 sur les technologies de l'information contient un article spécial sur la protection de catégories particulières de données à caractère personnel (article 43A). L'opérateur du PD est tenu d'appliquer les mesures nécessaires pour protéger le PD et est responsable des dommages causés par une fuite de données.

Il existe des «Règles sur la pratique et la procédure visant à garantir la sécurité de catégories particulières de données et d'informations personnelles» adoptées en 2011. Selon eux:

Données personnelles - toute information concernant un individu et qui, en combinaison avec d'autres informations détenues par l'opérateur de données personnelles, peut identifier cet individu.

Les catégories spéciales de DP comprennent (paragraphe 3 du Règlement):

  • mots de passe
  • informations financières (y compris les coordonnées bancaires et les détails de la carte de crédit)
  • données sur la santé;
  • l'orientation sexuelle;
  • données biométriques.

Localisation de catégories spéciales de DP. Conformément à la règle 7, le transfert transfrontalier de PD de citoyens indiens ne peut être autorisé que lorsqu'il est nécessaire de respecter le contrat entre l'entité juridique et le sujet PD ou lorsque le sujet a donné son consentement au transfert de données.

Les règles de protection de la confidentialité et des données personnelles sont contenues dans plusieurs lois de l'industrie en Inde, y compris les lois sur les assurances et les banques.

Les principaux problèmes de protection PD en Inde:

  • absence d'un organisme autorisé pour la protection de la MP;
  • absence d'une seule loi spéciale sur la DP;
  • absence de notification sur le traitement de PD et le registre des opérateurs impliqués dans le traitement de PD.

Conclusions


Contrairement à la Fédération de Russie, la législation et la pratique de protection de la MP contre les autres pays BRICS sont à la traîne. Dans le même temps, ces dernières années, dans tous les pays BRICS, on a observé:

  • intérêt pour le développement d'un système de protection PD en lien avec les nouvelles menaces informatiques de l'ère numérique
  • adoption de nouveaux règlements
  • introduction ou projet de création d'un organisme spécial autorisé pour la protection des sujets DP
  • s'efforcer de mettre en œuvre les meilleures pratiques et les principes et normes internationaux

Nous espérons que la Russie continuera d'améliorer le système législatif, en introduisant les meilleures pratiques et en évitant les mesures prohibitives inutiles.

Source: https://habr.com/ru/post/fr412737/

More articles:


All Articles