Dernières actualités : données personnelles

CEF 2025 : L’EDPB sélectionne le thème de l’action coordonnée de l’année prochaine

Bruxelles, le 10 octobre – Lors de sa séance plénière d’octobre 2024, le Comité européen de la protection des données (CEPD, ou EDPB en anglais) a choisi le thème de sa quatrième action coordonnée de mise en œuvre (CEF), qui portera sur la mise en œuvre du droit à l’effacement (« droit à l’oubli ») par les responsables du traitement. Les autorités de protection des données (DPA) des Etats Membres se joindront à cette action sur une base volontaire dans les semaines à venir et l’action elle-même sera lancée au cours du premier semestre 2025.

Le droit à l’effacement (article 17 du RGPD) est l’un des droits à la protection des données les plus fréquemment exercés et au sujet duquel les autorités de protection des données reçoivent souvent des plaintes. Le but de cette action coordonnée sera, entre autres, d’évaluer la mise en œuvre de ce droit dans la pratique. Par exemple, cela se fera en analysant et en comparant les processus mis en place par différents responsables du traitement afin d’identifier les problèmes les plus importants dans le respect de ce droit, mais aussi d’avoir une vue d’ensemble des meilleures pratiques. Dans le cadre d’une action coordonnée d’application de la législation, l’EDPB donne la priorité à un sujet spécifique sur lequel les DPA doivent travailler au niveau national.

Le rapport sur les résultats de l’action coordonnée 2024 sur le droit d’accès sera adopté au début de l’année 2025.
Les actions coordonnées font suite à la décision de l’EDPB de mettre en place un cadre d’application coordonné (CEF) en octobre 2020. Le CEF est une action clé de l’EDPB dans le cadre de sa stratégie 2024-2027, avec la réserve d’experts de soutien (SPE). Ces deux initiatives visent à rationaliser l’application de la loi et la coopération entre les autorités chargées de la protection des données.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le CEPD adopte un avis sur les sous-traitants, des lignes directrices sur l’intérêt légitime, une déclaration sur le projet de règlement relatif à l’application du RGPD et le programme de travail 2024-2025

Lors de sa dernière plénière, le Comité européen de la protection des données (CEPD) a adopté un certain nombre de documents :

• Le CEPD a adopté un avis (en anglais) sur certaines obligations résultant de la dépendance aux sous-traitants et sous-sous-traitants suite à une demande formulée par l’Autorité danoise de protection des données (DPA) en vertu de l’article 64(2) du RGPD. L’article 64(2) du RGPD stipule qu’une autorité de protection des données peut demander au CEPD de publier un avis sur des questions d’application générale ou ayant des effets dans plus d’un État membre. En particulier, l’avis explique que les responsables du traitement doivent avoir à tout moment l’information sur l’identité (c’est-à-dire le nom, l’adresse, la personne de contact) de tous les sous-traitants, sous-sous-traitants, etc. afin de pouvoir mieux remplir leurs obligations en vertu de l’article 28 du RGPD. En outre, l’obligation du responsable du traitement de vérifier si les (sous-)traitants présentent des « garanties suffisantes » devrait s’appliquer indépendamment du risque pour les droits et libertés des personnes concernées, bien que l’étendue de cette vérification puisse varier, notamment en fonction des risques associés au traitement.

• Le Comité a adopté des lignes directrices sur le traitement des données personnelles basé sur l’intérêt légitime (en anglais). Ces lignes directrices analysent les critères énoncés à l’article 6(1) (f) du RGPD que les responsables doivent respecter pour traiter légalement des données personnelles sur la base d’un intérêt légitime. Elles tiennent également compte de l’arrêt récent de la CJUE sur cette question (C-621/22, 4 octobre 2024).
  Pour se baser sur l’intérêt légitime, le responsable du traitement doit remplir trois conditions cumulatives : la poursuite d’un intérêt légitime par le responsable ou par un tiers ; la nécessité de traiter des données personnelles aux fins de la poursuite de l’intérêt légitime ; les intérêts ou libertés fondamentales et droits des individus ne doivent pas primer sur l’intérêt(s) légitime(s) du responsable ou d’un tiers (exercice d’équilibre).
  Les lignes directrices seront soumises à une consultation publique jusqu’au 20 novembre 2024.

• Le Comité a adopté une déclaration (en anglais)   suite aux modifications apportées par le Parlement européen et le Conseil à la proposition de règlement de la Commission européenne établissant des règles de procédure supplémentaires relatives à l’application du RGPD. La déclaration accueille généralement les modifications introduites par le Parlement européen et le Conseil, et recommande de s’attaquer davantage à des éléments spécifiques afin que le nouveau règlement atteigne les objectifs d’optimisation de la coopération entre les autorités et d’amélioration de l’application du RGPD.
  La déclaration formule des recommandations pratiques qui peuvent être utilisées dans le cadre des trilogues à venir. En particulier, le CEPD réaffirme la nécessité d’une base légale et d’une procédure harmonisée pour les règlements amiables et formule des recommandations afin d’assurer que le consensus sur le résumé des questions clés soit atteint de la manière la plus efficace possible. Le Comité se réjouit également de l’inclusion de délais supplémentaires tout en rappelant qu’ils doivent être réalistes et exhorte les co-législateurs à supprimer les dispositions relatives aux objections pertinentes et motivées ainsi que la « déclaration de motifs » dans la procédure de résolution des litiges.La présidente du CEPD, Anu Talus, a déclaré : « Le projet de règlement a le potentiel de rationaliser considérablement l’application du RGPD en augmentant l’efficacité du traitement des affaires. Une plus grande harmonisation est nécessaire au niveau de l’UE, afin de maximiser l’efficacité de plein de mécanismes de coopération et de cohérence du RGPD. »

• Enfin, le CEPD a adopté son programme de travail pour 2024-2025 (en anglais).

Disponible  sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

En Allemagne, la Cour constitutionnelle fédérale se prononce sur certains traitements de la police criminelle – en sa défaveur

Dans un arrêt publié ce jour, la Cour constitutionnelle fédérale allemande a estime que la loi attributive des pouvoirs à la police criminelle fédérale (BKA) en matière de lutte contre le terrorisme et le crime organisée doit être modifiée, dans la mesure où certaines de ses compétences légales en matière de collecte et de stockage de données sont en partie inconstitutionnelles. Plus précisément, les compétences en question ont été jugées « non compatibles avec le droit fondamental à l’autodétermination en matière d’information ». De manière concrète, le tribunal a notamment critiqué la possibilité de surveiller secrètement les personnes en contact avec des suspects.

En réaction, l’autorité allemande a salué la décision. Le BfDI, M. le professeur Specht-Riemenschneider, a souligné l’importance de la décision prise aujourd’hui par la Cour constitutionnelle fédérale concernant les règles selon lesquelles l’Office fédéral de la police criminelle ne peut traiter ultérieurement des données à caractère personnel dans son système d’information que sous certaines conditions. Selon lui, « l’arrêt contient des déclarations décisives pour le réseau d’information de la police. Il reste garanti que la police soit en mesure d’agir, mais aucune donnée ne peut non plus être enregistrée dans le vide si aucun comportement fautif ne peut être reproché aux personnes. C’est ce que confirme la pratique de contrôle et de conseil de mon autorité jusqu’à présent. »

La BfDI voit en outre un signe pour le législateur : le cercle des personnes ciblées dans le soi-disant paquet de sécurité est trop large. Le législateur peut maintenant réajuster l’association d’informations. L’autorité en profite pour ajouter qu’il serait judicieux d’élaborer maintenant ensemble des solutions conformes à la protection des données.

Disponible (en allemand) sur: bfdi.bund.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La décision de l’autorité dans l’affaire de la divulgation de données incorrectes sur les défauts de paiement est devenue définitive

En novembre 2021, l’autorité a ordonné au « Registre judiciaire » de corriger ses pratiques concernant [son absence de] contrôle de l’exactitude des informations sur les défauts de paiement communiquées aux agences de crédit. En deux mots, les informations fondées sur des jugements dans des affaires civiles étaient inscrites comme des défauts de paiement dans le registre de crédit, ce qui portait préjudice aux personnes concernées.

Après avoir mené l’enquête, l’autorité a estimé que les informations fondées sur des jugements dans des affaires civiles n’auraient pas dû être inscrites comme défauts de paiement dans le registre de crédit notamment dans la mesure où cette inscription ne démontre pas l’insolvabilité ou la mauvaise volonté de paiement d’une personne dans les cas où l’obligation de paiement est légitimement contestée. Elle a également constaté que Registre judiciaire avait communiqué aux agences de crédit des informations qui ne répondaient pas aux conditions requises par la loi sur le crédit pour les inscriptions de défauts de paiement. Ainsi, l’autorité a adressé un avertissement au Registre judiciaire pour traitement non conforme des données personnelles au regard du règlement sur la protection des données.

Au cours des péripéties judiciaires qui s’en sont suivies, le tribunal administratif d’Helsinki a maintenu la décision de l’autorité telle quelle, et la Cour suprême administrative n’a pas accordé d’autorisation de recours en août 2024 dans cette affaire. Par conséquent, la décision de l’Adjoint au délégué à la protection des données est devenue définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Commission européenne ouvre une consultation publique sur un projet de modifications des CCT (SCCs en anglais)

La Commission européenne lance une consultation publique sur les nouvelles CCT de l’UE – en vue d’une adoption au 2e trimestre 2025. Les nouvelles CCT ont pour ambition de couvrir la situation où l’importateur de données est situé dans un pays tiers mais est directement soumis au RGPD – une lacune dans les CCT actuelles qui a été une nouvelle fois mise en lumière par l’amende récente d’Uber. Pour rappel, l’autorité néerlandaise avait constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. (société néerlandaise) et UBER TECHNOLOGIES INC. (société américaine) sont responsables conjoints font l’objet de transferts vers les États-Unis en l’absence de garanties appropriées entre le 6 août 2021 et le 21 novembre 2023.

Le projet des nouvelles CCT n’est pas encore disponible au public, mais il s’agit très certainement d’une affaire à suivre.

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Exprimez votre intérêt à participer à l’événement EDPB avec les parties prenantes sur les prochaines lignes directrices sur le modèle du « Pay or Okay »

Le Comité européen de la protection des données (EDPB) organise un événement à distance pour les parties prenantes, qui aura lieu le 18 novembre 2024 de 10h00 à 16h00 CET (heure exacte à confirmer), afin de recueillir les commentaires des parties prenantes dans le cadre des lignes directrices à venir sur l’application de la législation relative à la protection des données dans le contexte des modèles « Consent or Pay » (consentement ou paiement).

L’objectif de cet événement est de recueillir les points de vue pertinents des organisations qui ont une expertise dans les modèles « Consent or Pay », qui exigent que les personnes concernées choisissent entre consentir au traitement des données personnelles pour une finalité spécifique ou payer une redevance. Cet événement contribuera aux travaux en cours de l’EDPB sur les lignes directrices relatives aux modèles « Consent or Pay ».Ces lignes directrices s’inscrivent dans le prolongement de l’avis 08/2024 de l’EDPB, qui traitait du modèle « Consentement ou paiement » dans le contexte des grandes plateformes en ligne. Les lignes directrices auront un champ d’application plus large.

Pour plus d’informations rendez-vous ci-dessous !

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’EDPB va collaborer avec la Commission européenne pour élaborer des orientations sur l’interaction entre le GDPR et le DMA

Les services de la Commission chargés de l’application de la loi sur les marchés numériques (DMA) et le Conseil européen de la protection des données (EDPB) ont convenu de travailler ensemble pour clarifier et donner des orientations sur l’interaction entre la DMA et le GDPR. Ce dialogue renforcé entre les services de la Commission et l’EDPB se concentrera sur les obligations applicables aux contrôleurs numériques en vertu de la DMA, qui présentent une forte interaction avec le GDPR, car il est nécessaire d’assurer l’application cohérente des cadres réglementaires applicables aux contrôleurs numériques.

Selon la communication, il est essentiel de développer une interprétation cohérente de la DMA et du GDPR tout en respectant les compétences de chaque régulateur dans les domaines où le GDPR s’applique et est référencé dans la DMA afin de mettre en œuvre efficacement les deux cadres réglementaires et d’atteindre leurs objectifs respectifs et complémentaires.

Par ailleurs, le DMA a créé un groupe de haut niveau chargé de fournir à la Commission des conseils et une expertise afin de garantir que le DMA et les autres réglementations sectorielles applicables aux responsables du contrôle d’accès sont mis en œuvre de manière cohérente et complémentaire. La Commission et les représentants de l’EDPB et du CEPD se sont déjà engagés sur les obligations liées aux données et à l’interopérabilité au sein du groupe de haut niveau. Ce projet s’appuie sur cet engagement et approfondit la coopération en ce qui concerne les deux cadres réglementaires spécifiques.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La DPC se félicite de la conclusion de la procédure relative à l’outil d’IA « Grok » de X

Dans un communiqué publié ce jour, la DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle avait engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire est revenue devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration du DPC publiée le 8 août 24) sur une base permanente. La demande avait été introduite en aout dans des circonstances urgentes, car la DPC craignait que le traitement des données à caractère personnel contenues dans les messages publics des utilisateurs de l’UE/EEE de la société X, dans le but de former son IA « Grok », ne présente un risque pour les droits et libertés fondamentaux des personnes. C’était la première fois que le DPC, en tant qu’autorité de contrôle principale dans l’ensemble de l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018.

Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat obtenu aujourd’hui, qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre des mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour de s’être penchée sur la question ».

En fin de communiqué, la DPC a annoncé avoir adressé une demande d’avis au Comité européen de la protection des données (« l’EDPB ») conformément à l’article 64, paragraphe 2, du GDPR afin de déclencher une discussion sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins du développement et de la formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe (et notamment la mesure dans laquelle des données à caractère personnel sont traitées à différents stades de la formation et de l’exploitation d’un modèle d’IA).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cadre de protection des données entre l’UE et les États-Unis : consultation publique sur son fonctionnement

Le 10 juillet 2023, la Commission européenne a adopté une décision d’adéquation (C(2023) 4745 final) sur le cadre UE-États-Unis de protection des données (DPF). Ce nouveau cadre vise à fournir une protection solide aux Européens et à apporter une sécurité juridique aux transferts transatlantiques de données à caractère personnel. Sur la base de la décision d’adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l’UE vers les entreprises américaines qui participent au cadre.

Ce cadre a apporté des améliorations significatives par rapport au mécanisme de transfert précédent (le bouclier de protection de la vie privée UE-États-Unis). Il a notamment introduit de nouvelles garanties contraignantes et exécutoires pour répondre à toutes les préoccupations soulevées par la Cour de justice des Communautés européennes dans l’arrêt Schrems II. Il s’agit notamment de limiter l’accès des agences de renseignement américaines aux données de l’UE à ce qui est nécessaire et proportionné, et de créer un mécanisme de recours indépendant et impartial doté de pouvoirs d’arbitrage et de réparation (par la création de la Cour de contrôle de la protection des données) ouvert aux particuliers de l’UE. Les garanties relatives à l’accès des gouvernements aux données complètent les obligations que les entreprises américaines qui importent des données de l’UE doivent respecter pour bénéficier de la décision d’adéquation, et qui sont mises en œuvre par la Commission fédérale du commerce des États-Unis.

Cette décision garantit que les données à caractère personnel peuvent circuler librement de l’UE vers les entreprises participantes aux États-Unis. La décision (conforme au règlement général sur la protection des données) prévoit un réexamen périodique. Le premier doit avoir lieu dans un délai d’un an afin d’évaluer si toutes les parties du cadre sont en place et fonctionnent comme prévu. Ce rapport présentera les résultats et les conclusions du premier examen.
Afin de construire ce rapport, la Commission a lancé un appel à contributions, ouvert jusqu’au 6 septembre 2024.  N’hésitez pas à participer !

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.