Andorre a fortement misé sur la numérisation de son économie, consciente que la numérisation n'est plus l'avenir, c'est le présent. Les changements survenus dans la société à l'échelle mondiale ces dernières années ont conduit à la création d'un nouvel espace numérique rempli d'opportunités commerciales, capable de renouveler les secteurs et de stimuler l'économie des entreprises de la Principauté d'Andorre.
Cependant, le pays des Pyrénées, conscient qu'il n'y a pas de futur sans utilisation d'internet et des nouvelles technologies à des fins commerciales et professionnelles, reste ferme et rappelle la nécessité absolue de respecter son cadre juridique, mettant un accent particulier sur la protection des droits de l'homme et des libertés fondamentales.
Dans ce sens, le cadre juridique relatif à la protection des données personnelles a été modifié le 17 novembre 2021 avec la publication de la Loi 29/2021 sur la protection des données personnelles. Cette loi, en vigueur à partir du 17 mai 2022, met à jour la loi précédente de 2003, en adoptant les modifications du cadre réglementaire européen des dernières années.
Par conséquent, la protection des données est établie comme une priorité nationale pour la Principauté d'Andorre, en réponse aux changements sociaux et législatifs mondiaux existants. Dans une société de plus en plus consciente de l'importance et de la valeur de ses données personnelles, établir une stratégie qui assure la conformité aux obligations découlant de la réglementation applicable apportera également une valeur ajoutée importante à toute organisation.
La nouvelle loi sur la protection des données d'Andorre introduit une série de modifications et d'obligations qui doivent être respectées par les entreprises, les entités et les organisations qui y sont soumises.
La Loi 29/2021 sur la protection des données personnelles a été publiée le 17 novembre 2021, établissant un délai de 6 mois pour son entrée en vigueur. Ainsi, la loi entrera en vigueur le 17 mai 2022.
À qui s'applique la loi sur la protection des données d'Andorre ?
Les entités assujetties à la loi sur la protection des données en Andorre sont toutes les entités publiques et privées qui traitent des données pour une utilisation quotidienne. De même, la loi s'appliquera aux responsables et prestataires de services domiciliés en Andorre ou conformément à ses lois.
Enfin, les responsables et prestataires de services situés en dehors d'Andorre mais utilisant des moyens de traitement dans le pays seront également soumis à la loi.
Le Règlement général sur la protection des données (RGPD) s'applique-t-il en Andorre ?
Bien qu'Andorre soit en dehors de l'Union européenne, le RGPD peut s'appliquer aux entreprises ou entités situées dans la Principauté d'Andorre.
L'application territoriale du RGPD stipule que cette norme s'applique au traitement de données effectué par une entité située en dehors de l'Union européenne, tant qu'elle offre des biens ou des services à des personnes situées dans l'UE, que le paiement soit requis ou non.
De même, le RGPD s'appliquera également aux entités ou entreprises situées en dehors de l'UE qui traitent des données pour le contrôle du comportement des personnes concernées, dans la mesure où celui-ci a lieu dans l'Union européenne.
Il convient de rappeler que le régime de sanctions du RGPD prévoit des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'exercice financier précédent, la sanction la plus élevée étant choisie.
La nouvelle loi sur la protection des données d'Andorre a établi que certaines entités et organisations sont tenues de désigner un délégué à la protection des données et de le communiquer à l'Agence de protection des données d'Andorre (APDA).
Les entreprises et entités susceptibles de disposer d'un délégué à la protection des données seraient toutes les entreprises publiques, indépendamment des données qu'elles traitent, et celles qui traitent des données de manière automatisée, à grande échelle ou des catégories spéciales de données.
La nouvelle législation d'Andorre prévoit les mêmes droits que ceux découlant du règlement européen : accès, rectification, suppression, opposition, limitation du traitement et portabilité des données. De plus, elle ajoute des droits tels que celui de garantir les droits numériques et le droit à l'oubli.
Dois-je tenir un registre des activités de traitement en Andorre ?
La Loi 29/2021 sur la protection des données personnelles a introduit l'obligation pour certaines entreprises et entités de tenir un registre des activités de traitement. Ce registre se présente sous la forme d'un document interne dont le contenu minimal doit permettre de contrôler les données personnelles traitées par l'entité.
Parm