Sur la nécessité impérative d’une loi organique sur l’utilisation et la protection des données à caractère personnel en République Dominicaine.

En juin 2019, j’ai eu la chance d’entreprendre un stage enrichissant où j’ai fait la découverte du sujet sur la protection des données à caractère personnel. Et un mois plus tard, j’ai redirigé cet article, inspiré par la mythologie grecque. C’est ainsi que je vois des nouvelles technologies, l’intelligence artificielle et la protection des données personnelles ; comme l’intrigante boîte de Pandore - qui était en fait un vase, mais le mot pythos n’a pas été traduit correctement - qui libère et traite toutes les informations, bonnes ou mauvaises. Raison pour laquelle, je remarque l’impérativité de créer une loi organique portant la protection des données personnelles en République Dominicaine.

Je suis heureuse de savoir que, l’Institut Dominicain des Télécommunications (INDOTEL) a l’intention de créer une proposition de loi organique sur la protection des données à caractère personnel en vue de remplacer l’actuelle loi n° 172-13, qui vise à la protection intégrale des données à caractère personnel enregistrées dans les fichiers, registres publics, banques de données et autres moyens techniques de traitement des données destinés à fournir des rapports, qu’ils soient publics ou privés, du 13 décembre 2013. Pour le moment, l’avant-projet de loi n’est pas disponible au publique.

Le traitement adéquat des données à caractère personnel est essentiel pour le respect du droit à la vie privée des personnes physiques. Il est généralement admis que, dans le cadre du droit international de l’information, ce traitement doit être examiné d’un point de vue juridique et économique ; par exemple, l’utilisation du règlement général sur la protection des données - RGPD - et sa compatibilité avec la technologie Blockchain.

Une question éminemment d’actualité se pose : Serait-il possible de transférer une partie du modèle européen de réglementation sur la protection des données personnelles - RGPD - à la République Dominicaine ? Examinons la possibilité.

En Europe, le règlement 2016/679 - RGPD - s’applique à toutes les entreprises (y compris leurs comités d’entreprise) administrations et associations qui traitent des données à caractère personnel.

On parle, de l’extraterritorialité du RGPD en visant que la portée territoriale a été étendue de façon à ce que les règles de protection des données de l’Union s’appliquent aussi aux responsables de traitement de données établis en-dehors de son territoire (voir l’Amérique latine). Cette extension impose aux responsables de traitement de données et aux sous-traitants établis en dehors de l’UE de respecter les obligations en matière de protection des données européennes lorsqu’ils traitent les données de sujets résidant dans l’Union à des fins spécifiques. Les sociétés ou entreprises qui sont implantées ailleurs l’UE peuvent relever du champ d’application du RGPD si elles proposent des biens ou des services à des particuliers ressortissants de l’UE.

Le RGPD présente une particularité par rapport aux autres règlements européens, en ce sens qu’il comporte des mécanismes similaires à ceux d’une directive. Dans les directives, les Etats membres de l’UE peuvent décider quelles dispositions ils acceptent et quelles dispositions ils n’acceptent pas ; en outre, pour faire partie du cadre juridique de chaque Etat membre, une loi, un décret ou un arrêté de transposition doit être créé. Par exemple, l’article 8 du RGPD établi dans son paragraphe 1 : « les Etats membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans ».

Dans le cas de l’Espagne, le RGPD est en binôme avec la loi organique n° 3/2018, qui est une loi destinée à adapter le droit interne espagnol au règlement général sur la protection des données. La loi fixe, par exemple, la manière dont les proches peuvent accéder, modifier et supprimer les données du défunt - les données du défunt ne relève pas du champ d’application du RGPD, considérant 27.

Pourquoi une loi organique pour la République Dominicaine, comme celle de l’Espagne ? Simple, car le but principal des lois organiques est de protéger les droits fondamentaux et les libertés publiques, en particulier l’honneur et l’intégrité.

En vue que le RGPD, peut atteindre les responsables du traitement des données personnelles qui sont situés en dehors de l’Union européenne, lorsque le traitement des données personnelles est lié à la fourniture de biens et de services dans l’espace européen ; cela implique qu’il y aura des changements et des impacts importants en Amérique. Et c’est là que réside la pertinence du fait que, la République Dominicaine doit disposer d’une loi organique qui prévoit la protection des données personnelles et abroge la loi n° 172-13.

Il est jugé approprié d’inclure ou de prendre en compte les lignes directrices suivantes pour la rédaction effective d’une nouvelle loi organique sur la protection des données à caractère personnel. Raison pour laquelle, on présentera des dispositions du RGPD qui pourront être utiles pour la création de cette normative en République Dominicaine.

D’abord, montrez "conformité". Comme le RGPD est la norme phare, en matière de protection des données personnelles en Europe ; il est crucial pour toutes les économies qui ont des nombreuses relations commerciales et d’investissement vis à vis à cette dernière, qu’elles commencent à prendre en compte le respect des principes du RGPD mentionnés ci-dessous.

 La création d’un organe de contrôle qui devrait être une institution dotée de personnalité juridique (capable d’être titulaire de droits et de devoirs) de nature autonome et indépendante, sanctionnatrice, totalement impartiale par rapport au secteur public et privé ; par exemple l’Information Commissioner’s Office (ICO) au Royaume-Uni et la Commission nationale de l’informatique et des libertés (CNIL) en France. Actuellement, en République Dominicaine, l’organisme de contrôle prévu à l’article 29 de la loi n° 172-13 est la surintendance des banques (une entité publique) ce qui pose une limitation majeure pour la protection des données personnelles. Toutes les autres entités qui traitent, collectent, gèrent et administrent des données à caractère personnel ne sont pas dûment réglementées puisqu’elles ne relèvent pas du champ d’application du contrôle de la superintendance des banques. Cela représente un très faible niveau de protection et de sécurité des données personnelles. Comprendre que les données à caractère personnel impliquent toute information qui peut, directement ou indirectement, identifier une personne physique, est la base de l’évolution vers une nouvelle législation, dans la perspective du présent et du futur de la protection des données ;
 Les principes de protection des données dès la conception et de protection des données par défaut i.e. “Privacy by Design” et “Privacy by Default”, doivent être garantis par les entreprises des secteurs publics et privés, ainsi que par toute autre organisation traitant des données à caractère personnel, directement ou indirectement. 
La protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel exige l’adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences nécessaires sont respectées ;
 L’inclusion d’une évaluation Data Protection Impact Assessment (DPIA) et Privacy Impact Assessment (PIA) pour les cas les plus particuliers de traitement des données à caractère personnel, par exemple les données génétiques, l’utilisation de la vidéosurveillance, les données biométriques, entre autres ;
 Un intérêt légitime justifié doit être la pierre angulaire des nouvelles règles, et pas seulement le consentement. Le consentement libre, explicite et conscient de la personne concernée comme base juridique pour établir le droit d’accès à ses données personnelles ne devrait plus être considéré comme suffisant. Dans l’hypothèse d’une relation employeur-employé, dans laquelle le travailleur se trouve dans une situation de désavantage et de vulnérabilité évidente, cela pourrait conduire à une acceptation pas nécessairement volontaire de l’accès à ses données personnelles ;
 Le responsable de traitement est la référence pour le respect par une entité du bon usage des données à caractère personnel. Son rôle est essentiel pour la bonne exécution des règlements. Cette responsabilité ne devrait pas, en principe, être assumée par le directeur, le président, de l’entité ;
 Déterminer plus précisément, des normes et des principes qui correspondent à la tendance mondiale, par exemple la responsabilité, la légalité, l’équité, la transparence et la minimisation des données ;
 Il conviendra d’établir des responsabilités pour les éventuels sous-traitants, qui peuvent également avoir accès à ces informations ou les gérer ;
 La mise en place, des limites claires et strictes à la vidéosurveillance des travailleurs, étant donné que l’utilisation excessive et inutile de la vidéosurveillance, sans limite de temps, violent le droit fondamental au respect de la vie privée. Il existe énormément des entreprises et même des écoles, qui utilisent la vidéosurveillance sans aucune modération ou justification ;
 Afin de mieux garantir la cohérence dans la normative, il y a lieu de définir ou mise à jour des termes suivants : données personnelles, données personnelles sensibles, données génétiques, données biométriques, personne concernée, responsable du traitement des données, consentement, intérêt légitime, entre autres ;
 Le traitement des données à caractère personnel des mineurs ne peut être contenu, superficiellement, dans la législation nationale. Les enfants méritent une protection spécifique. Il doit être indiqué : l’âge minimum de consentement, les limites à la collecte de ses données à des fins de marketing ou de création de profils de personnalité et d’autres facteurs d’importance.

Par ailleurs, sur le site de la CNIL qui fait référence à la protection des données dans le monde, il est indiqué que la République Dominicaine, en matière de niveau de protection : dispose d’une législation c’est-à-dire la loi n° 172-13, mais que le pays n’est pas reconnu comme adapté à l’Union européenne ; i.e. que les transferts de données personnelles vers ce pays doivent être couverts par les outils de transfert. Cela n’est pas positif pour les relations économiques de mon pays avec les entités commerciales européennes, il faut donc avancer dans la création de cette loi organique.

En conclusion, s’il existe la moindre de doute sur le caractère indispensable d’une telle loi organique, il suffit de prendre en compte ce qui est établi à l’article 37, numéro 3, de la loi 172-13, qui est l’une des exceptions à l’obligation de consentement : "dont les données sont limitées au nom, à la carte d’identité et d’électeur, au passeport, à l’identification fiscale et à d’autres informations biographiques"[…], en établissant à tort que ces données ne sont pas sensibles, alors qu’en fait, au niveau international, elles sont traitées avec le plus grand soin et la plus grande protection !

Bibliographie.
 ICO [1].
 Règlement général sur la protection des données 2016/679 - RGPD [2].
 CNIL [3].
 Loi No. 172-13 - Que tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados [4].
 Deloitte - Point de vue [5].
 Agencia Española de Protección de Datos - AEPD [6].

• 
  Perspectives and standards., Alejandro Gonzalez, 19 juin 2020

  I totally agree with this article, as you describe personal data is essential for the respect of the right to privacy of natural persons.
  These standards definitely must be applied or adopted by companies that take pride in having principles such as Safety first, responsibility, transparency, and Integrity in order to not only secure and protect sensitive personal data but to spread tranquility to whoever that belongs to private or public entities.

  Excellente Eykis.