Obligations à la charge des avocats issues de la nouvelle loi sur la Protection des Données Personnelles

Après plus de dix-huit ans après l’approbation par le Consell General (Parlement andorran) de la Loi sur la protection des données à caractère personnel, le 17 novembre 2021 a été publiée la nouvelle loi en la matière (“Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals) (“LPD”), qui entrera en vigueur en mai 2022.

Cette loi a pour objectif d’actualiser les normes andorranes relatives au traitement que, tant les personnes de droit privé que les administrations publiques, réalisent en relation aux donnés à caractère personnel, à la lueur de la nouvelle normative européenne, en particulier le Règlement (UE) 2016/679 du Parlement Européen et du Conseil. La nouvelle loi introduit des nouveautés importantes par rapport à l’ancienne législation, motif pour lequel cet article se focalise sur les obligations en matière de protection des données à caractère personnel mises à la charge des avocats.

En ce sens, les avocats (ou les Cabinets auxquels ils appartiennent) doivent appliquer une série de mesures techniques, d’organisation et de nature juridique qui permettront à l’organisation d’assurer la confidentialité, l’intégrité et la disponibilité de l’information.

En premier lieu, il convient de faire référence aux obligations spécifiques établies par la nouvelle LPD qui impose, dans le cadre du traitement des données personnelles des client, d’obtenir le consentement exprès pour se faire. A cet effet, on entendra comme consentement la manifestation de volonté libre et éclairée, spécifique et inéquivoque par laquelle l’intéressé accepte que ses données à caractère personnel fasse l’objet d’un traitement (art. 4.2 LPD), étant exclus un quelconque consentement tacite.

Ensuite, la LPD ajoute pour les intéressés, au-delà des droits traditionnels ARSO (accès, rectification, suppression et opposition), d’autres droits nouveaux, lesquels devront être garantis par les avocats lors du traitement des données à caractère personnel. Tout d’abord, le droit de limitation, qui implique que les personnes affectées puissent demander que le traitement de leurs données à caractère personnel soit limité (art. 22 LPD). Par ailleurs, le droit à la portabilité, qui comporte le droit de transmettre les données à un autre responsable du traitement ou à l’intéressé, au travers d’un format structuré d’usage habituel et lecture mécanique quand le traitement s’effectue par des moyens automatisés (art. 23 LPD). De même, est prévu le droit de la personne intéressée de ne pas se voir soumise à une décision individuelle automatisée et à l’élaboration de profils (art. 25 LPD).

Par ailleurs, la nouvelle loi met en place l’obligation pour les avocats de réaliser une analyse des risques, c’est à dire qu’ils devront soupeser les conséquences du traitement de données. Par conséquent, si le risque en cause est spécialement élevé, ils devront mesurer les implications afin de minimiser les possibilités d’affecter les droits ou libertés des intéressés, et ils devront mettre en place les mesures de sauvegarde adéquates (art. 32 LPD).

Il important d’évoquer l’exigence de tenir un registre relatif aux activités de traitement de données, qui sera obligatoire uniquement lorsque l’organisation en question remplit les critères suivants : qu’il y ait plus de 50 employés; le traitement de données peut comporter un risque pour les droits et libertés fondamentales des personnes en cause; le traitement n’ait pas lieu de manière occasionnelle ; ou que le traitement de données porte sur des catégories spéciales de données (art. 34 LPD).

D’autre part, lorsque sont cédées des données à des tiers, il est exigé un devoir de diligence dans le choix de la personne en charge du traitement de données. Concrètement, il faudra choisir une personne qui présente les garanties suffisantes pour appliquer les mesures techniques et organisatrices appropriées, afin que le traitement de données garantisse la sauvegarde des droits des personnes impliquées ; et celui-ci ne pourra traiter les données qu’en suivant les instructions du responsable du traitement des données à moins qu’il n’y soit obligé en vertu d’une disposition légale (art. 31 LPD).

Additionnellement, lorsque l’avocat fait partie d’une organisation, les salariés devront signer un accord de confidentialité pour éviter que les données personnelles qui font l’objet d’un traitement puisse parvenir à des personnes non autorisées. Dans tous les cas, il faudra veiller à ce que les salariés respectent les mesures de sécurité en place.

Si une violation de la sécurité des données personnelles se produit, par exemple en cas de cyber attaque, il conviendra de le notifier à l’Agència Andorrana de Protecció de Dades (APDA) dans un délai de 72 heures (art. 36.1 LPD), et, s’il le faut, aux personnes qui se trouvent affectées par cette circonstance (art. 37.1 LPD).

Enfin, il convient d’ajouter que la nouvelle Loi a introduit la figure du Délégué de Protection de données (“Delegat de Protecció de Dades” (DPD)), qui est la personne en charge d’instruire le responsable du traitement de données sur les obligations légales qui doivent être respectées dans le domaine de la protection des données à caractère personnel. Pour ce qui est des Cabinets d’avocats, qui, en règle Générale, traitent des données personnelles à grande échelle, ceux-ci doivent être considérés comme étant soumis à cette obligation de désigner un DPD.

En guise de conclusion, les professionnels du droit, en tant que profession qui prête un service à la société dans l’intérêt commun par le biais du conseil et de la défense des droits et intérêts publics et privés, sont soumis à la loi sur la protection des données personnelles, dont celle-ci cherche à assurer un niveau adéquat de protection des données à caractère personnel des personnes physiques, droit fondamental garanti par l’article 14 de la Constitution de la Principauté d’Andorre.

Clàudia Alonso

Augé Legal & Fiscal