La loi 29/2021 vise à adapter le système juridique andorran aux exigences technologiques actuelles et à la réglementation européenne, notamment au règlement (UE) 2016/679, qui réglemente la protection des données personnelles et leur libre circulation au sein de l’Union européenne.
Cette loi est applicable aux entités publiques et privées qui gèrent des données personnelles et ont leur siège social dans la Principauté d’Andorre. Cela concerne également les entités constituées selon la législation andorrane. En outre, il s’étend aux entités qui, bien que n’étant pas domiciliées ou constituées conformément aux lois d’Andorre, effectuent des traitements de données sur le territoire andorran.
Rôle du Délégué à la Protection des Données (DPD)
La loi institue la figure du délégué à la protection des données (DPD), qui a pour rôle de guider les entités dans l’accomplissement de leurs obligations légales en matière de protection des données. Le DPO contrôle le respect de la réglementation et fait office de pont entre l’entité responsable et l’Agence andorrane de protection des données (APDA).
Obligation de notifier les incidents de sécurité
Il est obligatoire de notifier toute faille de sécurité à l’APDA dans un délai maximum de 72 heures à compter de sa détection. Cette mesure vise à garantir une réponse rapide et efficace à d’éventuels incidents de sécurité.
Exigence d’analyses d’impact
Une analyse d’impact doit être réalisée lorsque le traitement des données peut présenter un risque élevé pour les droits et libertés des personnes. Cela inclut le traitement de données personnelles sensibles, le profilage et la surveillance systématique à grande échelle.
Promotion de codes de conduite
L’APDA promeut la création de codes de conduite pour garantir la bonne application de la réglementation. Ces lignes directrices aident les entités à respecter les normes établies.
Extension des droits des utilisateurs
La loi élargit les droits des intéressés, en ajoutant le droit à l’oubli, la garantie des droits numériques, la limitation du traitement, le droit à la portabilité et le droit de ne pas faire l’objet de décisions ou de profils automatisés.
Dossiers personnels à l’APDA
L’obligation d’inscrire les dossiers personnels au registre public de l’APDA a été supprimée. Désormais, les entités de plus de 50 salariés, ainsi que les entités publiques, doivent établir un registre des activités de traitement des données.
Régime de sanctions
Les sanctions sont classées selon leur gravité: infractions très graves (jusqu’à 100 000 euros), graves (jusqu’à 30 000 euros) et mineures (jusqu’à 15 000 euros). Cette différenciation vise une application plus juste et proportionnée des sanctions.
Responsabilité Proactive
Un aspect clé de la loi est la responsabilité proactive, qui exige non seulement le respect des réglementations, mais également la démonstration de ce respect de manière active.a
Du Grup Assessors Associats, nous souhaitons vous aider à vous adapter à ces directives et garantir le respect de la réglementation en vigueur. Si vous avez des questions ou avez besoin de plus d’informations sur la façon de mettre en œuvre ces changements, n’hésitez pas à nous contacter. Nous serons heureux de vous offrir les conseils dont vous avez besoin.
Avez-vous besoin d’aide pour votre entreprise ou en tant que particulier ?
Primera consulta gratuïta