L’EDPB publie une nouvelle analyse juridique sur l’accès des gouvernements aux données dans les pays tiers
L’European Data Protection Board (EDPB) a commandé une étude approfondie sur l’accès des gouvernements aux données dans les pays tiers, avec un focus particulier sur la Turquie et le Mexique. Cette étude a été menée sur la base de diverses sources, notamment des documents juridiques, des rapports d’organisations internationales, ainsi que des entretiens avec des experts qualifiés.
- Le but de cette étude :
Conformément à l’article 46 du RGPD, les données personnelles ne peuvent être transférées vers des pays tiers ou organisations internationales que si des garanties appropriées sont mis en place, et si les personnes concernées disposent de droits opposables et de voies de droit effectives.
Ce rapport informe les autorités de contrôle de l’UE sur l’accès aux données personnelles par les gouvernements du Mexique et de la Turquie, en fournissant un aperçu des informations pertinentes pour évaluer si la législation et les pratiques des pays susmentionnées impliquent un accès massif et/ou indiscriminé aux données personnelles traitées par les opérateurs économiques.
- La recherche a consisté en :
- L’examen de la situation générale des droits fondamentaux au Mexique et en Turquie, y compris la protection de la vie privée.
- L’analyse des lois locales pour comprendre les conditions d’accès aux données personnelles par les autorités gouvernementales.
- L’enquête sur l’existence de règles spécifiques pour l’accès aux données personnelles des individus étrangers.
- L’identification des mécanismes de surveillance relatifs à l’accès gouvernemental aux données personnelles et l’évaluation de leur indépendance vis-à-vis du pouvoir exécutif des organismes habilités à effectuer un tel contrôle.
- L’évaluation des droits des individus en ce qui concerne leurs données personnelles, y compris les voies de recours administratives et judiciaires.
- Les résultats clés de cette étude sont les suivants :
Mexique
- Constitutionnellement, non seulement le droit à la protection des données est garanti à toute personne, quelle que soit sa nationalité, mais aussi les droits d’accès, de rectification, de suppression et d’opposition des personnes concernées.
- Les données traitées par des acteurs privés au Mexique sont soumises à la Loi sur la Protection des Données pour les Acteurs Privés (LFPSSP). Cette loi est supervisée par l’Institut National de la Transparence, de l’Accès à l’Information et de la Protection des Données (INAI).
- Dans le secteur public, le Mexique a mis en place la Loi sur la Protection des Données pour les Acteurs Publics (LGPDSSO) en 2015. Cette loi générale établit les règles principales en matière de protection des données dans le secteur public et répartit les compétences entre les 33 entités fédérales du Mexique.
- Le consentement est généralement requis pour le traitement des données par les autorités publiques, sauf en cas d’exceptions prévues par la loi, notamment pour des motifs de sécurité nationale, régis par la Loi sur la Sécurité Nationale de 2005, qui offre moins de protections spécifiques des données.
- La protection adéquate des personnes dans les situations d’accès par le gouvernement exige que les différentes autorités de contrôle mexicaines conservent leur indépendance et leur liberté d’action.
Turquie :
- La Turquie reconnaît à la fois le droit à la vie privée et le droit à la protection des données personnelles comme des droits fondamentaux dans sa constitution.
- Cette protection s’étend à tous les individus, y compris les étrangers, et comprend des droits tels que le droit d’être informé, l’accès, la rectification et le droit à l’oubli.
- Cependant, la loi sur la protection des données (TPDPL) n’assure qu’une protection secondaire pour les données personnelles et elle exclut les autorités judiciaires, les forces de l’ordre et les services de renseignement de son champ d’application.
- Les autorités chargées de la sécurité nationale et de l’application de la loi traitent donc des données personnelles sans cadre juridique, bien qu’elles soient toujours soumises aux limites imposées par la Constitution.
- Des lois spécialisées prévoient des garanties et des mécanismes de contrôle spécifiques. Les individus peuvent demander réparation par le biais de plaintes judiciaires et individuelles en cas de violation de leurs droits à la vie privée et à la protection des données devant la Cour constitutionnelle.
- La proportionnalité de l’accès gouvernemental peut être contestée sur la base des critères suivants : absence de nécessité, de garantie des droits des citoyens à l’étranger, d‘indépendance des organes gouvernementaux et pour l’adéquation du respect des droits des personnes avec le droit turc.
Note : Les opinions exprimées dans cette étude sont uniquement celles des auteurs, elles ne représentent pas la position officielle de l’EDPB qui n’est pas lié par les conclusions de ce rapport.