Espagne : encadrement des services numériques – données personnelles et sécurité publique

Décret-loi royal 14/2019, du 31 octobre 2019, par lequel sont prises des mesures d’urgence, pour des raisons de sécurité publique, en matière d’administration numérique, de passation de marchés publics et de télécommunications.

Évoquant la nécessité d’adapter le droit à l’évolution des techniques numériques et de leurs usages, les autorités espagnoles ont élaboré et promulgué, le 31 octobre 2019, un décret-loi visant, dans un but de protection des données personnelles et de la sécurité publique, l’encadrement et le contrôle des services numériques de caractère administratif et de leur contenu contre différentes formes de cyberdélinquance.

Ce texte occupe une vingtaine de pages du Boletin Oficial del Estado (Journal officiel), du 5 novembre 2019. Il modifie et complète partiellement différentes dispositions législatives éparses. Il se prévaut de sa conformité avec les principes constitutionnels de protection de l’ordre public et des droits des personnes et se réfère à divers textes européens (règlements et directives) ayant les mêmes objets.

Le décret-loi comporte deux aspects essentiels : la protection des données personnelles détenues par l’administration, d’une part ; et pour cela, la possibilité de suspension temporaire et immédiate de certains services numériques, d’autre part.

Protection des données personnelles

S’agissant de la question de la protection des données personnelles, le texte met en balance les exigences de sécurité publique et de bonne administration des services publics, d’un côté, et de respect des droits et des libertés des citoyens, de l’autre. Il souligne les risques liés aux « nouvelles technologies », tels que le vol de données et diverses formes de cyber­attaques. Ceux-ci lui paraissent nécessiter parfois « une réponse immédiate, de manière à ce que de tels actes ne se reproduisent pas ».

Sont notamment visés les éléments relatifs à l’identité des personnes, leur identification électronique et leur signature par le même moyen. Sont concernés la collecte, la conservation, le traitement et l’utilisation des données personnelles et les conditions de leur transfert à l’étranger ou auprès d’organisations internationales.

Il doit être veillé à ce que le traitement des données personnelles soit conforme aux raisons pour lesquelles il a été mis en place et à ce qu’il ne puisse jamais être l’objet d’un usage autre que celui pour lequel ces données ont été initialement collectées. La cession de données, par un organisme public, à un cocontractant, doit en spécifier la finalité et faire mention de l’obligation, pour ce dernier, « de respecter la législation » en vigueur à cet égard. Un tel souci de protection des données personnelles détenues par l’administration peut justifier que soit ordonnée la fermeture de services numériques.

Suspension de services numériques

Le texte du décret-loi mentionne que la sécurité publique est une « compétence exclusive de l’État ». Est soulignée la nécessité, en cas d’« urgence » ou de « force majeure », d’« intervenir dans une situation concrète, conformément aux objectifs gouvernementaux, dans un contexte difficile à prévoir, exigeant une action immédiate dans un délai plus rapide que celui qui correspond à la procédure normale ». Le texte détermine des « mesures visant à renforcer la sécurité dans le secteur des télécommunications ». Un pouvoir d’intervention est accordé à l’administration, à l’encontre des réseaux et services de communications électroniques susceptibles d’affecter l’ordre public.

Face à une situation considérée comme « exceptionnelle » la possibilité est prévue pour l’administration elle-même, de suspendre, pour des motifs de sécurité nationale, le transfert de données personnelles et l’activité d’un prestataire de services en cas de « menace immédiate et grave pour l’ordre public et la sécurité ». Pourront être déclarés, de plein droit, comme nuls, des contrats passés avec l’administration ne comportant pas le rappel des obligations en matière de protection des données personnelles.

Tout en reconnaissant la nécessité qu’en certaines circonstances présentant un caractère exceptionnel et pour des motifs de sécurité publique soient prises des mesures de contrôle pouvant aller jusqu’à la suspension, au moins provisoire de certaines activités et services numériques, à la décision de l’autorité politique ou administrative ; on préférera, en Espagne (notamment dans le contexte particulier d’une majorité gouverne­mentale fragile et instable et de mouvements séparatistes) comme en tout autre pays, l’intervention d’un juge, comportant des garanties d’indépendance et respectueuse des droits de la défense et, plus largement, de l’ensemble des droits et des libertés entre lesquels une juste conciliation doit être établie. Loin de se contredire, ordre et libertés constituent la condition, la composante et la conséquence ou la résultante d’un système démocratique, digne de ce nom.

 

Professeur à l’Université Paris 2

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici