Dernières actualités : données personnelles

Mise à jour des lignes directrices sur la directive ePrivacy

Suite à la consultation publique qui a eu lieu en fin d’année 2023, le CEPD a publié ce jour la dernière version des lignes directrices concernant la directive ePrivacy.
Pour rappel, dans ces lignes directrices, le CEPD traite de l’applicabilité de l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques » à différentes solutions techniques. Ces lignes directrices développent l’avis 9/2014 du groupe de travail « Article 29 » sur l’application de la directive « vie privée et communications électroniques » à la prise d’empreintes digitales de dispositifs et visent à fournir une compréhension claire des opérations techniques couvertes par l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques ».

Les lignes directrices identifient trois éléments clés pour l’applicabilité de l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques » (section 2.1), à savoir « l’information », « l’équipement terminal d’un abonné ou d’un utilisateur » et « l’accès à l’information et le stockage de l’information et de l’information stockée ». Les lignes directrices fournissent en outre une analyse détaillée de chaque élément (sections 2.2-2.6).
Dans la section 3, cette analyse est appliquée à une liste non exhaustive de cas d’utilisation représentant des techniques courantes, à savoir
– le suivi des URL et des pixels
– le traitement local
– le traçage basé uniquement sur l’IP
– le signalement intermittent et médiatisé de l’internet des objets (IoT).
– l’identifiant unique

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le CEPD adopte un avis sur les sous-traitants, des lignes directrices sur l’intérêt légitime, une déclaration sur le projet de règlement relatif à l’application du RGPD et le programme de travail 2024-2025

Lors de sa dernière plénière, le Comité européen de la protection des données (CEPD) a adopté un certain nombre de documents :

• Le CEPD a adopté un avis (en anglais) sur certaines obligations résultant de la dépendance aux sous-traitants et sous-sous-traitants suite à une demande formulée par l’Autorité danoise de protection des données (DPA) en vertu de l’article 64(2) du RGPD. L’article 64(2) du RGPD stipule qu’une autorité de protection des données peut demander au CEPD de publier un avis sur des questions d’application générale ou ayant des effets dans plus d’un État membre. En particulier, l’avis explique que les responsables du traitement doivent avoir à tout moment l’information sur l’identité (c’est-à-dire le nom, l’adresse, la personne de contact) de tous les sous-traitants, sous-sous-traitants, etc. afin de pouvoir mieux remplir leurs obligations en vertu de l’article 28 du RGPD. En outre, l’obligation du responsable du traitement de vérifier si les (sous-)traitants présentent des « garanties suffisantes » devrait s’appliquer indépendamment du risque pour les droits et libertés des personnes concernées, bien que l’étendue de cette vérification puisse varier, notamment en fonction des risques associés au traitement.

• Le Comité a adopté des lignes directrices sur le traitement des données personnelles basé sur l’intérêt légitime (en anglais). Ces lignes directrices analysent les critères énoncés à l’article 6(1) (f) du RGPD que les responsables doivent respecter pour traiter légalement des données personnelles sur la base d’un intérêt légitime. Elles tiennent également compte de l’arrêt récent de la CJUE sur cette question (C-621/22, 4 octobre 2024).
  Pour se baser sur l’intérêt légitime, le responsable du traitement doit remplir trois conditions cumulatives : la poursuite d’un intérêt légitime par le responsable ou par un tiers ; la nécessité de traiter des données personnelles aux fins de la poursuite de l’intérêt légitime ; les intérêts ou libertés fondamentales et droits des individus ne doivent pas primer sur l’intérêt(s) légitime(s) du responsable ou d’un tiers (exercice d’équilibre).
  Les lignes directrices seront soumises à une consultation publique jusqu’au 20 novembre 2024.

• Le Comité a adopté une déclaration (en anglais)   suite aux modifications apportées par le Parlement européen et le Conseil à la proposition de règlement de la Commission européenne établissant des règles de procédure supplémentaires relatives à l’application du RGPD. La déclaration accueille généralement les modifications introduites par le Parlement européen et le Conseil, et recommande de s’attaquer davantage à des éléments spécifiques afin que le nouveau règlement atteigne les objectifs d’optimisation de la coopération entre les autorités et d’amélioration de l’application du RGPD.
  La déclaration formule des recommandations pratiques qui peuvent être utilisées dans le cadre des trilogues à venir. En particulier, le CEPD réaffirme la nécessité d’une base légale et d’une procédure harmonisée pour les règlements amiables et formule des recommandations afin d’assurer que le consensus sur le résumé des questions clés soit atteint de la manière la plus efficace possible. Le Comité se réjouit également de l’inclusion de délais supplémentaires tout en rappelant qu’ils doivent être réalistes et exhorte les co-législateurs à supprimer les dispositions relatives aux objections pertinentes et motivées ainsi que la « déclaration de motifs » dans la procédure de résolution des litiges.La présidente du CEPD, Anu Talus, a déclaré : « Le projet de règlement a le potentiel de rationaliser considérablement l’application du RGPD en augmentant l’efficacité du traitement des affaires. Une plus grande harmonisation est nécessaire au niveau de l’UE, afin de maximiser l’efficacité de plein de mécanismes de coopération et de cohérence du RGPD. »

• Enfin, le CEPD a adopté son programme de travail pour 2024-2025 (en anglais).

Disponible  sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

EU-US Data Privacy Framework (DPF): L’EDPB publie une foire aux questions pour les personnes concernées mais et une autre pour les entreprises

Au cours de sa séance du 16 juillt 2024, l’EDPB a adopté 2 foires aux question afin d’aider les personnes concernées mais également les entreprises à « naviguer » parmi les règles relatives au Data Privacy Framework, qui encadre les transferts de données vers les Etats-Unis.  En guise d’introduction, l’EDPB rappelle que les entreprises qui se sont auto-certifiées dans le cadre du DPF doivent se conformer à ses principes, règles et obligations en matière de traitement des données à caractère personnel des personnes de l’EEE. La Commission européenne a estimé que les transferts de données à caractère personnel de l’EEE vers des entreprises certifiées au titre du DPF bénéficiaient d’un niveau de protection adéquat.

Dans ses FAQs, l’EDPB répond aux questions suivantes:
1- FAQ dédiée aux personnes concernées
Q1. Qu’est-ce que le cadre UE-États-Unis de protection des données personnelles ?
Q2. Comment puis-je bénéficier du cadre UE-États-Unis pour la protection des données personnelles ?
Q3. Comment déposer une plainte ?
Q4. Comment l’autorité nationale de protection des données traitera-t-elle ma plainte ?

2- FAQ dédiée aux entreprises
Q1. Qu’est-ce que le cadre UE-États-Unis de protection des données personnelles ?
Q2. Quelles sont les entreprises américaines éligibles au cadre UE-États-Unis de protection des données personnelles ?
Q3. Que faire avant de transférer des données à caractère personnel à une entreprise américaine qui est ou prétend être
certifiée au titre du cadre UE-États-Unis de protection des données à caractère personnel ?
Q4. Où puis-je trouver des conseils concernant la certification des filiales américaines d’entreprises européennes ?
entreprises européennes ?

Disponible (en anglais) sur: edpb.europa.eu (personnes concernées) et edpb.europa.eu (pour les entreprises)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Publication des lignes directrices sur l’article 37 de la directive Police-Justice

Comme annoncé lors de la publication de l’ordre du jour de sa séance plénière, le CEPD vient de publier ses lignes directrices 01/2023 sur l’article 37 de la directive Police-Justice, (cet article étant relatif aux transferts hors UE en l’absence de décision d’adéquation). Selon le résumé exécutif disponible sur le document, ces lignes directrices fournissent des orientations sur l’application de l’article 37 de la directive Police Justice, en particulier sur la norme juridique relative aux garanties appropriées à appliquer par les autorités compétentes en vertu de l’article 37, paragraphe 1, points a) et b), de la directive Police Justice et, par conséquent, sur les facteurs pertinents pour l’évaluation de l’existence de ces garanties. Elles  comprennent donc une indication des attentes de l’EDPB à l’égard des États membres, en tant que parties aux négociations, lorsqu’ils envisagent de conclure ou de modifier un instrument juridiquement contraignant entre le ou les États membres concernés et un pays tiers ou une organisation internationale en vertu de l’article 37, paragraphe 1, point a), de la directive relative à la protection des données.

L’EDPB note que l’article 35(3) LED s’applique aux transferts effectués en vertu de l’article 37 de la directive. Celui-ci devrait donc être appliqué à la lumière du principe selon lequel le niveau de protection des données applicable dans l’Union européenne ne doit pas être compromis par le transfert de données à caractère personnel vers une autre juridiction. L’EDPB conclut que l’article 37 exige un niveau de protection des données essentiellement équivalent dans le pays tiers ou l’organisation internationale destinataire. Toutefois, cette exigence est liée au transfert spécifique de données ou à la catégorie de transferts en question. Conformément à l’article 37, l’équivalence essentielle de la protection garantie par la directive Police-Justice doit être assurée pour ce cas particulier et pas nécessairement au regard de l’ensemble de la législation en vigueur dans le pays tiers ou l’organisation internationale.

Dans ce contexte, l’EDPB rappelle sa déclaration sur les accords internationaux, y compris les transferts, adoptée le 13 avril 2021, invitant les États membres à évaluer et, le cas échéant, à revoir leurs accords internationaux qui impliquent des transferts internationaux de données à caractère personnel. L’EDPB souligne qu’il convient d’envisager de mettre ces accords en conformité avec les exigences de la directive Police-Justice pour les transferts de données, lorsque ce n’est pas encore le cas, afin de s’assurer que le niveau de protection des personnes physiques garanti par la LED n’est pas compromis lorsque des données à caractère personnel sont transférées en dehors de l’Union.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Lors de sa dernière session plénière, l’EDPB a adopté une déclaration sur l’accès aux données financières et les services de paiement.

Le 28 juin 2023, la Commission européenne (CE) a publié trois propositions concernant les services de paiement et l’accès aux données financières. Le paquet législatif se compose d’une proposition de cadre pour l’accès aux données financières (FIDA), d’une proposition de règlement sur les services de paiement (PSR) et d’une proposition de directive sur les services de paiement (PSD3). Selon la Commission européenne, ces propositions visent à améliorer la protection des consommateurs et la concurrence dans le domaine des paiements électroniques, et à permettre aux consommateurs de partager leurs données afin d’accéder à une gamme plus large de produits et de services financiers moins chers. À cette fin, ces propositions développent le cadre juridique existant sur les services de paiement (notamment la deuxième directive sur les services de paiement, ou « DSP2 ») et établissent un nouveau cadre pour faciliter l’accès et le partage des données financières en ce qui concerne certains services financiers (FIDA).

Après divers échanges entre l’EDPB, l’EDPS et les autorités européennes ayant permis la prise en compte des premières recommandations formulées par les autorités, le CEPD estime qu’ « étant donné que les travaux du Conseil se concentrent sur la prévention de la fraude, la présente déclaration fournit des recommandations à cet égard, en s’appuyant sur l’expérience pratique des autorités nationales chargées de la protection des données en la matière. En particulier, l’EDPB considère que des garanties supplémentaires devraient être incluses dans la législation concernant le partage des données à des fins de fraude afin de garantir le droit fondamental à la protection des données« .

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Reconnaissance faciale dans les aéroports : les individus devraient avoir un contrôle maximal sur les données biométriques

Bruxelles, le 24 mai – Lors de sa dernière session plénière, l’EDPB a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports*. Cet avis au titre de l’article 64, paragraphe 2, fait suite à une demande de l’autorité française de protection des données et porte sur une question d’application générale produisant des effets dans plus d’un État membre.

L’avis analyse la compatibilité du traitement avec le principe de limitation du stockage (article 5, paragraphe 1, point e), du GDPR), le principe d’intégrité et de confidentialité (article 5, paragraphe 1, point f), du GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 du GPDR). GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 GPDR). Le respect des autres dispositions du GDPR, y compris en ce qui concerne la licéité du traitement, n’entre pas dans le champ d’application du présent avis**.

Il n’existe pas d’obligation légale uniforme dans l’UE pour les exploitants d’aéroports et les compagnies aériennes de vérifier que le nom figurant sur la carte d’embarquement du passager correspond au nom figurant sur sa pièce d’identité, et cette vérification peut être soumise aux législations nationales. Par conséquent, lorsqu’il n’est pas nécessaire de vérifier l’identité des passagers à l’aide d’un document d’identité officiel, il ne faut pas procéder à une telle vérification à l’aide de données biométriques, car cela entraînerait un traitement excessif des données.

Dans son avis, l’EDPB a examiné la conformité du traitement des données biométriques des passagers avec quatre types différents de solutions de stockage, allant de celles qui stockent les données biométriques uniquement entre les mains de l’individu à celles qui reposent sur une architecture de stockage centralisée avec différentes modalités. Dans tous les cas, seules les données biométriques des passagers qui s’inscrivent activement et consentent à participer doivent être traitées.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

📢Le guide de la protection des données de l’EDPB pour les #petitesentreprises est maintenant disponible en français et en allemand !

Le guide contient des informations pratiques pour aider les PME à se mettre en conformité avec le RGPD.

Les thématiques suivantes sont notamment évoquées:

• Les bases de la protection des données
• Le respect des droits des personnes
• Sécuriser les données personnelles
• Réagir face à une violation de données
• Comment se mettre en conformité

Voilà un outil de plus dans le kit de formation des DPO !

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Les modèles « Consent or Pay » devraient offrir un véritable choix

Bruxelles, le 17 avril – Lors de sa dernière session plénière, l’EDPB a adopté un avis à la suite d’une demande au titre de l’art. 64(2) du RGPD par les autorités de protection des données (DPA) néerlandaises, norvégiennes et hambourgeoises. L’avis porte sur la validité du consentement au traitement des données à caractère personnel à des fins de publicité comportementale dans le contexte des modèles « consentement ou paiement » déployés par les grandes plateformes en ligne.

En ce qui concerne les modèles de « consentement ou paiement » mis en œuvre par les grandes plateformes en ligne (le terme n’ayant pas la même définition que pour le DMA/DSA), l’EDPB considère que, dans la plupart des cas, il ne leur sera pas possible de se conformer aux exigences relatives à un consentement valable s’ils ne donnent aux utilisateurs que le choix entre consentir au traitement des données à caractère personnel à des fins de publicité comportementale et payer une redevance. L’EDPB considère que les grandes plateformes en ligne devraient envisager de fournir aux individus une « alternative équivalente » qui n’implique pas le paiement d’une redevance. Si les responsables du traitement choisissent de faire payer l’accès à l' »alternative équivalente », ils doivent envisager sérieusement d’offrir une alternative supplémentaire. Cette alternative gratuite devrait être sans publicité comportementale, par exemple avec une forme de publicité impliquant le traitement de moins ou pas de données à caractère personnel. Il s’agit d’un facteur particulièrement important dans l’évaluation d’un consentement valable au titre du RGPD.

[Ajout contextuel Portail RGPD: Le CEPD semble ne pas totalement fermer la porte à la pratique du « Pay or Okay », mais il semble chercher à la restreindre autant que possible, quitte à la rendre quasiment impraticable. Il précise néanmoins que, le cas échéant, les autorités devront procéder à des analyses au cas par cas, en ce compris l’évaluation du caractère approprié et proportionnel du montant fixé par le responsable de traitement. D’après certaines analyses, cela pourrait être un moyen pour le CEPD d’éviter l’annulation de son avis par le CJUE au motif qu’il ne serait pas compétent pour interdire la pratique de manière générale (tout comme le Conseil d’Etat avait annulé les lignes directrices de la CNIL en matière de cookies sur ce fondement il y a quelques années).]

Disponible (en anglais) sur: edpb.europa.eu L’avis complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.