L’Andorre adopte une nouvelle Loi de protection des données qui affectera toutes les entreprises du pays

À partir du 17 mai 2022, la nouvelle Loi de protection des données entrera en vigueur en Andorre (Loi 29/2021, du 28 octobre, relative à la protection des données personnelles). Cette loi définit un nouveau cadre légal qui affectera tous les organismes, professionnels indépendants, entreprises, associations, fondations, fédérations, écoles, centres médicaux, experts comptables, auditeurs, etc. En définitive, ce changement concerne toutes les entreprises du pays domiciliées dans la principauté d’Andorre ou constituées selon les lois andorranes, qu’elles soient publiques ou privées, petites ou grandes.

Son champ d’application dans les entreprises englobe tous les secteurs d’activité professionnels et commerciaux, ainsi que la gestion des données personnelles des fournisseurs, des clients et des employés.

Pour se mettre en conformité avec ce nouveau règlement, les organismes sont tenus de prendre une série de mesures, aussi bien au niveau technique qu’organisationnel, qui devront être implémentées au moment adéquat et en accord avec les dispositions de la nouvelle Loi et du futur Règlement. Il est indispensable de garantir la mise en place des mesures techniques et organisationnelles nécessaires et il doit être démontrable que le traitement des données est conforme à la Loi et à ses dispositions.

Mesures d’implémentation essentielle de la Loi de protection des données personnelles

Les mesures essentielles à mettre en place sont:

• Inscription au Registre de traitement des données (à partir de 50 employés)
• Rédaction de mentions d’information légale ; consentement
• Rédaction de contrats de responsable de traitement des données et de cession des données
• Implémentation de mesures techniques et organisationnelles pour le traitement des données
• Nomination de responsables
• Mise en adéquation de pages web
• Rédaction d’imprimés pour les employés
• Rédaction d’un manuel d’information et recommandations pour le personnel ayant accès à des données personnelles ; code de conduite
• DPO – Nomination d’un(e) Délégué de la Protection des Données à l’Agence
• Andorrane de Protection des Données (APDA) si nécessaire
• Vidéosurveillance : rédaction de documents et de panneaux informatifs
• Rédaction de formulaires pour faciliter l’exercice des droits
• Notification des violations de sécurité
• AIPD – analyse d'impact relative à la protection des données (à délimiter dans le Règlement)
• Transferts internationaux de données

 

Le point de départ : l’audit de conformité de la protection des données

Pour implémenter la nouvelle norme, les entreprises doivent effectuer un audit des mesures de protection des données qui délimitera les adéquations nécessaires selon le type et le volume de données traitées, le secteur ou l’activité de l’entreprise, le nombre d’employés, etc.

Champ d’application de la Loi

En ce sens, l’un des aspects les plus importants à prendre en compte est le fait qu’il s’agit d’une loi proactive, c’est-à-dire que pour tout traitement de données, il sera nécessaire d’obtenir le consentement exprès de la personne concernée et qu’elle devra être en tous points informée. Il sera également indispensable de pouvoir démontrer ce consentement au moyen de registres correctement signés.

Sanctions

Les entreprises qui ne respectent pas la nouvelle législation pourront faire l’objet de sanctions économiques allant de 500 à 100 000 euros.

Votre expert de confiance

Chez IS21, nos professionnels spécialisés dans ce secteur offrent une réponse globale et aident nos clients à mettre en place les mesures nécessaires à la mise en conformité avec la nouvelle législation.