La Commission pontificale pour l'État de la Cité du Vatican promulgue le Règlement général sur la protection des données personnelles

Responsabilité et transparence pour la protection des personnes

Tout le monde ne sait peut-être pas que les données personnelles sont également protégées par la loi au Vatican. Le 30 avril 2024,  avec le décret n. DCLVIIl, la Commission pontificale pour l'État de la Cité du Vatican a promulgué son premier Règlement général sur la protection des données personnelles.

Il s'agit d'une nouveauté législative qui vient combler une exigence juridique pour répondre aux besoins et aux défis de notre époque, en particulier depuis l'avènement de l'ère numérique. Le nouveau Règlement ne protège pas seulement les personnes physiques, mais il inscrit également l'État de la Cité du Vatican parmi les pays qui ont fait un pas important vers la responsabilité et la transparence dans la gestion des données personnelles.

Les bases normatives sont ancrées dans plusieurs articles de la Loi fondamentale de l'État de la Cité du Vatican du 13 mai 2023. En particulier, l'article 7 stipule : « La fonction législative, sauf dans les cas où le Souverain Pontife entend se la réserver, est exercée par la Commission pontificale pour l'État de la Cité du Vatican ». Et l'article 15, paragraphes 1-2, stipule que «  le Président de la Commission pontificale est le Président du Gouvernorat et exerce la fonction exécutive conformément à la loi et aux autres dispositions normatives » ; il s'appuie sur le Gouvernorat, « dont les organes de direction et les organismes contribuent à l'exercice de la fonction exécutive de l'État, qui s'exerce dans les domaines prévus à l'article 4 ».

Le nouveau Règlement s'inspire de la législation européenne sur la protection des données personnelles, à savoir le General Data Protection Regulation (RGPD) de l'Union européenne, adopté le 27 avril 2016 et opérationnel depuis le 25 mai 2018, mais avec des différences significatives, en raison de la configuration institutionnelle de l'État de la Cité du Vatican et de son caractère fonctionnel pour l'exercice du ministère pétrinien.

Le législateur du Vatican a été animé par la volonté de protéger les droits et les libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, comme l'indique l'article 1 du Règlement, qui prévoit : « des règles relatives à la protection des personnes physiques en ce qui concerne le  traitement des données personnelles, ainsi que des règles relatives à la libre circulation de ces données, dans le respect de la dignité humaine et des droits et libertés de la personne ».

L'application du Règlement est effectuée par le Gouvernorat, « de manière limitée au territoire de l'État de la Cité du Vatican, ou pour les activités exercées par le Gouvernorat dans les zones concernées par les articles 15 et 16 des Accords du Latran, conformément à la Loi sur le Gouvernement de l'État de la Cité du Vatican n. CCLXXIV, du 25 novembre 2018 et à la Loi fondamentale de l'État de la Cité du Vatican, du 13 mai 2023 » (article 2, paragraphe 1). Le législateur du Vatican a également prévu d'en exclure l'application dans le cas du traitement des données personnelles effectué par des personnes physiques à des fins exclusivement personnelles, à condition que les données « ne soient pas destinées à une communication systémique ou à la  diffusion » et au traitement des données personnelles « manifestement rendues publiques par l'intéressé », ou dans l'hypothèse « d'anonymisation des données » (article 2, paragraphe 2).

L'article 11, paragraphe 1, du nouveau Règlement désigne le Gouvernorat de l'État de la Cité du Vatican comme le Titulaire du traitement des données, étant représenté par le Secrétaire général, qui détermine les finalités et les méthodes de traitement. Ceci afin de permettre également aux Responsables du traitement d'avoir la possibilité de « déterminer les mesures techniques et organisationnelles (mesures de sécurité) propres à assurer la protection des données personnelles » (article 11, paragraphe 2), conformément au Règlement lui-même. L'article 12 établit qui sont les Responsables du traitement des données. C'est le Titulaire du traitement lui-même, c'est-à-dire le Secrétaire général, qui identifie au sein de sa propre organisation, « parmi les titulaire des fonctions les plus élevées des Organes du Gouvernorat, les Responsables du traitement, qui sont chargés de mettre en œuvre le présent Règlement et d'agir conformément aux principes énoncés aux articles 4 et 5, en nommant les Référents lorsque le présent Règlement l'exige » (article 12, paragraphe 1). Le Titulaire du traitement et chaque Responsable du traitement, par un acte écrit, désignent un ou plusieurs Référents au sein de leur structure organisationnelle, choisis parmi leurs propres employés, en déterminant la durée de la nomination, le contenu, les devoirs et les responsabilités (article 13, paragraphe 1).

Les Référents sont les personnes physiques autorisées à mettre en œuvre les mesures de sécurité prévues par le Règlement examiné et qui sont identifiées dans le Registre spécifique des activités de traitement (article 13, paragraphe 2).

En outre, le Règlement prévoit des procédures spécifiques qui permettent à l'Intéressé, par le biais d'une demande écrite, sur papier ou sous forme électronique, adressée au Titulaire du traitement, d'exercer les droits d'accès, de rectification, d'effacement, de portabilité, d'opposition et de limitation du traitement.

En outre, si l'Intéressé estime que le traitement de ses données viole le Règlement, « sous réserve du recours à l'autorité judiciaire de l'État de la Cité du Vatican » (article 25), il a le droit de présenter une réclamation par écrit au Responsable de la Protection des données (RPD), dont les fonctions « sont toujours attribuées au Conseiller général de l'État de la Cité du Vatican » (article 10, paragraphe 2). Ce dernier, agissant en toute indépendance et autonomie dans l'accomplissement  de ses fonctions et dans l'exercice de ses pouvoirs (article 10, paragraphe 3), est un élément  fondamental de l'ensemble des étapes procédurales qui, avec l'intervention préalable du Titulaire  du traitement et l'éventuel recours indépendant à l'autorité judiciaire du Vatican, visent à garantir le plus haut degré de protection des droits de l'Intéressé.

En raison de la particularité de ce thème, le décret n. DCLVII a été promulgué par la Commission pontificale pour l'État de la Cité du Vatican ad experimentum, pour une période de trois ans,

Le parcours historique allant du respect de la vie privée à la protection des données

Pour comprendre comment le législateur est arrivé de nos jours à la rédaction du Règlement, il faut remonter dans le temps et dans l'espace, plus exactement à la fin du XIXe siècle, aux États-Unis d'Amérique. C'est à cette époque que l'on trouve les premières traces du respect de la vie privée en tant que droit. Les premiers à se pencher sur le sujet sont deux avocats de Boston, la plus européenne des villes américaines : Samuel Warren et Louis Brandeis. Le 15 décembre 1890, les deux avocats publièrent un article intitulé « The right to privacy » dans la Harvard Law Review. Ils appelaient à la reconnaissance de « la valeur juridique de la sensibilité humaine » et théorisaient « the right to be let alone ».  À l'époque, la presse écrite était le média par excellence, expression de l'imprimerie, dans laquelle les photographies trouvaient une large place. Ce qui incita les deux avocats à écrire cet article, fut l'indiscrétion de nombreux journaux qui publiaient des photos d'événements mondains auxquels participaient des membres de la haute bourgeoisie et des hommes politiques de l'époque.

On ne parlait pas encore du caractère intrusif de la technologie et du potentiel de la communication sociale, car seuls les appareils photo et les journaux étaient disponibles. Cela suffisait toutefois pour diffuser largement les images des personnes et s'immiscer dans leur vie privée. Des décennies s'écoulèrent et, à la fin de la Seconde Guerre mondiale, la conscience du respect dû à la vie privée et  la nécessité de protéger la sphère privée atteignit également l'Europe. Avec une particularité par rapport aux États-Unis d'Amérique : il ne s'agissait plus de freiner l'intrusion de personnes privées, comme certains organes de presse ou certaines entreprises, mais de se protéger contre l'intrusion de l'État. Le souvenir des régimes totalitaires qui venaient de s'effondrer et de certains toujours en place était encore très fort, de sorte que la priorité du législateur fut de protéger le domaine privé. C'est ainsi que fut rédigé l'article 8 de la Convention européenne des droits de l'homme (CEDH) de 1950, dans laquelle est établi le droit au respect de la vie privée. Les temps ont changé et, avec l'avènement de l'informatique et sa diffusion toujours plus vaste, le Conseil de l'Europe est intervenu en 1981 avec la Convention 108, également connue sous le nom de Convention de Strasbourg.  Il s'agit de l'un des instruments juridiques les plus importants pour la protection des personnes par rapport au traitement automatisé des données à caractère personnel. Un autre pas a été accompli avec la directive 95/46 du Parlement et du Conseil de l'Europe, dans le but d'harmoniser les règles de protection des données personnelles afin de garantir le « libre flux » des données et promouvoir un niveau élevé de protection des droits fondamentaux des citoyens. Cette directive a été, sans aucun doute, l'instrument juridique fondamental de l'Union européenne en matière de protection des données jusqu'en 2018, date à laquelle le Règlement général sur la protection des données (RGPD) est entré en vigueur.
Tagged under: Actualités