You are currently viewing La protection des données en Amérique du Sud (Partie 1)

Le Règlement général sur la protection des données (RGPD) est cité comme un modèle d’inspiration pour les États souhaitant acquérir un niveau de protection des données personnelles suffisant. En effet, divers États d’Amérique du Sud, disposant déjà d’un cadre légal sur la protection des données personnelles, ont modifié leur législation pour s’accorder au RGPD.   

 

Le RGPD, une référence en matière de protection des données 

L’essor des lois sur la protection des données à caractère personnel en Amérique du Sud est la représentation d’un mouvement plus général, un mouvement législatif mondial. En 2009, 56 pays étaient couverts par des législations sur la protection des données, ce chiffre a presque doublé étant donné que 106 pays étaient couverts en 2020. 

D’après Wojciech Wiewiorowski, contrôleur européen de la protection des données, il n’a jamais été question de faire du RGPD un modèle au niveau mondial. Or le processus d’adoption de celui-ci et ses dispositions ont fait du RGPD un outil à portée internationale. Les États tiers à l’Union européenne ont dû revoir leurs propres législations pour faciliter les échanges de données avec les États membres au vu de la condition d’un niveau de protection équivalent au RGPD. 

La Commission européenne a reconnu 14 pays comme apportant un niveau de protection équivalent à celui du RGPD. Parmi ces derniers se trouvent deux pays d’Amérique du Sud : l’Argentine et l’Uruguay. 

 

L’argentine et l’Uruguay : un niveau de protection équivalent au RGPD

L’Argentine est dotée d’une loi pour la protection des données personnelles depuis le 30 octobre 2000 : la loi n°25.326 (Ley de Protección de Datos Personales). Dans une décision du 30 juin 2003, la Commission européenne constate que l’Argentine offre un niveau de protection équivalent à celui de la directive 95/46/CE. 

L’Argentine a comme projet une nouvelle loi sur la protection des données et avait invité les citoyens argentins à faire des propositions jusqu’au 11 octobre 2022. Ce sont majoritairement des universitaires et des professionnels de la protection des données qui ont avancé des propositions. 

Le nouveau projet de loi a été présenté en février 2023 au Sénat et au Congrès. Il est fortement inspiré du RGPD avec l’énoncé des principes de licéité, de loyauté, de transparence, de minimisation des données ou encore d’exactitude concernant le traitement des données. 

L’Argentine est également dotée d’une autorité indépendante pour la protection des données, l’Agence d’accès à l’information publique (Agencia de Acceso a la Información Pública). Cette dernière, créée en 2017, remplace l’ancienne autorité de protection des données. 

L’Uruguay est doté d’une loi sur la protection des données personnelles depuis le 11 août 2008 avec la loi n°18.331 (Ley Protección de Datos Personales y Acción de «Habeas Data»). L’Uruguay complète sa législation sur la protection des données par deux décrets de décembre 2008 et d’août 2009 et par une loi du 27 décembre 2010 sur l’échange d’informations publiques ou privées entre organismes publics, étatiques ou non. Le 21 août 2012, la Commission européenne a émis une décision d’adéquation en faveur de l’Uruguay. 

Le 30 juin 2020, le pouvoir exécutif uruguayen a remis un projet de loi au pouvoir législatif dans le but d’actualiser la législation uruguayenne sur la protection des données personnelles et de garder un niveau de protection équivalent au RGPD. 

Des modifications à la loi sur la protection des données ont été adoptées le 20 octobre 2022. Ces modifications ciblent le droit à l’information notamment le devoir d’informer l’individu sur la collecte de la donnée personnelle. 

L’autorité de protection des données uruguayenne (Unidad Reguladora y de Control de Datos Personales) a été créée par la loi n°18.331 de 2008. Cette autorité possède une autonomie technique. Sa compétence est d’assurer le bon respect de la législation sur la protection des données et d’assurer le respect de ses principes. 

L’Argentine et l’Uruguay sont tous deux parties à la Convention 108 du Conseil de l’Europe. La Convention 108 a été ouverte à la signature le 28 janvier 1981 et reste le seul instrument international juridiquement contraignant pour le traitement automatisé des données à caractère personnel.

 

Maud Igersheim

M2 Cyberjustice – Promotion 2022/2023