Dernières actualités : données personnelles

Absence de nomination écrite et suffisamment claire d’un DPO : l’autorité polonaise sanctionne une entité publique

Aujourd’hui, l’UODO a annoncé avoir imposé une amende administrative de 25 000 PLN (environ 5700 euros) contre l’inspecteur du contrôle des bâtiments du district de Częstochowa pour avoir omis de désigner un délégué à la protection des données et, par conséquent, pour avoir omis de publier ses coordonnées et de les notifier à l’autorité de contrôle.  Dans le cadre de la procédure engagée par le président de l’UODO, l’Inspection des bâtiments de Poviat (PINB) a soumis une copie des dossiers personnels de deux personnes qui, selon elle, avaient précédemment exercé la fonction de délégué à la protection des données à la PINB de Częstochowa. Pour le prouver, l’entité a fourni les documents suivants à l’UODO:
– une attestation de suivi d’une formation à la protection des données personnelles pour le délégué à la protection des données,
– une clause d’information sur le traitement des données à caractère personnel,
– l’autorisation de traiter les données à caractère personnel dans les systèmes traditionnels et informatiques,
– le règlement relatif à la mise en œuvre de la politique de sécurité du traitement des données à caractère personnel au sein de l’inspection de la surveillance des bâtiments du district.
– l’étendue des activités liées à l’exercice de la fonction de DPD sur la base d’un ordre verbal de l’administrateur

Néanmoins, selon l’avis du président de l’Office de protection des données à caractère personnel (UODO), les formulations figurant dans les documents susmentionnés ne peuvent que prouver indirectement que la fonction de DPO au sein de la structure de l’administrateur est exercée par les personnes qui y sont indiquées. Elles ne prouvent pas qu’il y a eu une nomination effective au poste de DPO. L’exercice de la fonction de DPO sur la base d’une instruction verbale de l’administrateur n’établit pas son efficacité. Selon l’autorité, le responsable du traitement doit s’efforcer de veiller à ce que l’acte juridique (par exemple, l’ordre interne, la résolution, l’attribution des tâches) ou le contrat conclu avec la personne qui doit exercer la fonction de DPO indique clairement la désignation d’une personne spécifique pour exercer la fonction de DPO. À des fins de preuve, il est essentiel qu’ils soient également rédigés par écrit. Il est également nécessaire d’assigner précisément l’étendue des fonctions de cette personne conformément aux dispositions des articles 38 et 39 du RODO.

Dans le cas de la PINB à Częstochowa, un DPO n’a effectivement désigné une personne spécifique que le 4 mars 2024, c’est-à-dire déjà après la procédure de contrôle. Toutefois, à la date de la décision (18 octobre 2024), il n’avait pas publié les coordonnées de la personne susmentionnée. Actuellement, cela a été corrigé.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le CEPD adopte un avis sur les sous-traitants, des lignes directrices sur l’intérêt légitime, une déclaration sur le projet de règlement relatif à l’application du RGPD et le programme de travail 2024-2025

Lors de sa dernière plénière, le Comité européen de la protection des données (CEPD) a adopté un certain nombre de documents :

• Le CEPD a adopté un avis (en anglais) sur certaines obligations résultant de la dépendance aux sous-traitants et sous-sous-traitants suite à une demande formulée par l’Autorité danoise de protection des données (DPA) en vertu de l’article 64(2) du RGPD. L’article 64(2) du RGPD stipule qu’une autorité de protection des données peut demander au CEPD de publier un avis sur des questions d’application générale ou ayant des effets dans plus d’un État membre. En particulier, l’avis explique que les responsables du traitement doivent avoir à tout moment l’information sur l’identité (c’est-à-dire le nom, l’adresse, la personne de contact) de tous les sous-traitants, sous-sous-traitants, etc. afin de pouvoir mieux remplir leurs obligations en vertu de l’article 28 du RGPD. En outre, l’obligation du responsable du traitement de vérifier si les (sous-)traitants présentent des « garanties suffisantes » devrait s’appliquer indépendamment du risque pour les droits et libertés des personnes concernées, bien que l’étendue de cette vérification puisse varier, notamment en fonction des risques associés au traitement.

• Le Comité a adopté des lignes directrices sur le traitement des données personnelles basé sur l’intérêt légitime (en anglais). Ces lignes directrices analysent les critères énoncés à l’article 6(1) (f) du RGPD que les responsables doivent respecter pour traiter légalement des données personnelles sur la base d’un intérêt légitime. Elles tiennent également compte de l’arrêt récent de la CJUE sur cette question (C-621/22, 4 octobre 2024).
  Pour se baser sur l’intérêt légitime, le responsable du traitement doit remplir trois conditions cumulatives : la poursuite d’un intérêt légitime par le responsable ou par un tiers ; la nécessité de traiter des données personnelles aux fins de la poursuite de l’intérêt légitime ; les intérêts ou libertés fondamentales et droits des individus ne doivent pas primer sur l’intérêt(s) légitime(s) du responsable ou d’un tiers (exercice d’équilibre).
  Les lignes directrices seront soumises à une consultation publique jusqu’au 20 novembre 2024.

• Le Comité a adopté une déclaration (en anglais)   suite aux modifications apportées par le Parlement européen et le Conseil à la proposition de règlement de la Commission européenne établissant des règles de procédure supplémentaires relatives à l’application du RGPD. La déclaration accueille généralement les modifications introduites par le Parlement européen et le Conseil, et recommande de s’attaquer davantage à des éléments spécifiques afin que le nouveau règlement atteigne les objectifs d’optimisation de la coopération entre les autorités et d’amélioration de l’application du RGPD.
  La déclaration formule des recommandations pratiques qui peuvent être utilisées dans le cadre des trilogues à venir. En particulier, le CEPD réaffirme la nécessité d’une base légale et d’une procédure harmonisée pour les règlements amiables et formule des recommandations afin d’assurer que le consensus sur le résumé des questions clés soit atteint de la manière la plus efficace possible. Le Comité se réjouit également de l’inclusion de délais supplémentaires tout en rappelant qu’ils doivent être réalistes et exhorte les co-législateurs à supprimer les dispositions relatives aux objections pertinentes et motivées ainsi que la « déclaration de motifs » dans la procédure de résolution des litiges.La présidente du CEPD, Anu Talus, a déclaré : « Le projet de règlement a le potentiel de rationaliser considérablement l’application du RGPD en augmentant l’efficacité du traitement des affaires. Une plus grande harmonisation est nécessaire au niveau de l’UE, afin de maximiser l’efficacité de plein de mécanismes de coopération et de cohérence du RGPD. »

• Enfin, le CEPD a adopté son programme de travail pour 2024-2025 (en anglais).

Disponible  sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.