Dernières actualités : données personnelles

Comité européen sur la protection des données (EDPB)

Le CEPD adopte son premier rapport dans le cadre Data Privacy Framework (DPF)

Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a adopté un rapport sur le premier réexamen du cadre de protection des données UE-États-Unis, ainsi qu’une déclaration sur les recommandations du groupe de haut niveau (co-présidé par la Commission et la présidence du Conseil) sur l’accès aux données pour une application efficace de la loi. S’agissant de ce premier sujet, globalement, l’EDPB salue les efforts déployés par les autorités américaines et la Commission européenne pour mettre en œuvre le DPF et prend note de plusieurs évolutions intervenues depuis l’adoption de la décision d’adéquation en juillet 2023 :

  • En ce qui concerne les aspects commerciaux, c’est-à-dire l’application et le respect des exigences applicables aux entreprises autocertifiées au titre de ce cadre, l’EDPB note que le ministère américain du commerce a pris toutes les mesures pertinentes pour mettre en œuvre le processus de certification. Il s’agit notamment de développer un nouveau site web, de mettre à jour les procédures, de nouer le dialogue avec les entreprises et de mener des activités de sensibilisation.
  • En outre, le mécanisme de recours pour les citoyens de l’UE a été mis en œuvre et des orientations complètes sur le traitement des plaintes ont été publiées de part et d’autre de l’Atlantique. Toutefois, le faible nombre de plaintes reçues jusqu’à présent dans le cadre du DPF souligne l’importance pour les autorités américaines de lancer des activités de surveillance concernant la conformité des entreprises certifiées par le CPD avec les principes fondamentaux du DPF. L’EDPB encourage les autorités américaines à élaborer des orientations clarifiant les exigences que les entreprises certifiées par le CPD devraient respecter lorsqu’elles transfèrent des données à caractère personnel qu’elles ont reçues d’exportateurs de l’UE. Des directives des autorités américaines sur les données relatives aux ressources humaines seraient également les bienvenues. L’EDPB se déclare disposé à fournir un retour d’information sur ces documents d’orientation.
  • En ce qui concerne l’accès des autorités publiques américaines aux données à caractère personnel transférées de l’UE vers des organisations certifiées, l’EDPB s’est concentré sur la mise en œuvre effective des garanties introduites par le décret présidentiel 14086 dans le cadre juridique américain, telles que les principes de nécessité et de proportionnalité et le nouveau mécanisme de recours. Le comité estime que les éléments du mécanisme de recours sont en place; dans le même temps, elle renouvelle son appel à la Commission européenne pour qu’elle contrôle le fonctionnement pratique des différentes garanties, par exemple la mise en œuvre des principes de nécessité et de proportionnalité. L’EDPB recommande également à la Commission de suivre les évolutions futures liées à la loi américaine sur la surveillance du renseignement étranger, en particulier compte tenu de la portée étendue de l’article 702 après sa réautorisation par le Congrès des États-Unis au début de cette année.

Enfin, le comité recommande que le prochain réexamen de la décision d’adéquation UE-États-Unis ait lieu dans un délai de trois ans ou moins.

Disponible sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Mise à jour des lignes directrices sur la directive ePrivacy

Suite à la consultation publique qui a eu lieu en fin d’année 2023, le CEPD a publié ce jour la dernière version des lignes directrices concernant la directive ePrivacy.
Pour rappel, dans ces lignes directrices, le CEPD traite de l’applicabilité de l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques » à différentes solutions techniques. Ces lignes directrices développent l’avis 9/2014 du groupe de travail « Article 29 » sur l’application de la directive « vie privée et communications électroniques » à la prise d’empreintes digitales de dispositifs et visent à fournir une compréhension claire des opérations techniques couvertes par l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques ».

Les lignes directrices identifient trois éléments clés pour l’applicabilité de l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques » (section 2.1), à savoir « l’information », « l’équipement terminal d’un abonné ou d’un utilisateur » et « l’accès à l’information et le stockage de l’information et de l’information stockée ». Les lignes directrices fournissent en outre une analyse détaillée de chaque élément (sections 2.2-2.6).
Dans la section 3, cette analyse est appliquée à une liste non exhaustive de cas d’utilisation représentant des techniques courantes, à savoir
– le suivi des URL et des pixels
– le traitement local
– le traçage basé uniquement sur l’IP
– le signalement intermittent et médiatisé de l’internet des objets (IoT).
– l’identifiant unique

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Le CEPD adopte un avis sur les sous-traitants, des lignes directrices sur l’intérêt légitime, une déclaration sur le projet de règlement relatif à l’application du RGPD et le programme de travail 2024-2025

Lors de sa dernière plénière, le Comité européen de la protection des données (CEPD) a adopté un certain nombre de documents :

  • Le CEPD a adopté un avis (en anglais) sur certaines obligations résultant de la dépendance aux sous-traitants et sous-sous-traitants suite à une demande formulée par l’Autorité danoise de protection des données (DPA) en vertu de l’article 64(2) du RGPD. L’article 64(2) du RGPD stipule qu’une autorité de protection des données peut demander au CEPD de publier un avis sur des questions d’application générale ou ayant des effets dans plus d’un État membre. En particulier, l’avis explique que les responsables du traitement doivent avoir à tout moment l’information sur l’identité (c’est-à-dire le nom, l’adresse, la personne de contact) de tous les sous-traitants, sous-sous-traitants, etc. afin de pouvoir mieux remplir leurs obligations en vertu de l’article 28 du RGPD. En outre, l’obligation du responsable du traitement de vérifier si les (sous-)traitants présentent des « garanties suffisantes » devrait s’appliquer indépendamment du risque pour les droits et libertés des personnes concernées, bien que l’étendue de cette vérification puisse varier, notamment en fonction des risques associés au traitement.
  • Le Comité a adopté des lignes directrices sur le traitement des données personnelles basé sur l’intérêt légitime (en anglais). Ces lignes directrices analysent les critères énoncés à l’article 6(1) (f) du RGPD que les responsables doivent respecter pour traiter légalement des données personnelles sur la base d’un intérêt légitime. Elles tiennent également compte de l’arrêt récent de la CJUE sur cette question (C-621/22, 4 octobre 2024).
    Pour se baser sur l’intérêt légitime, le responsable du traitement doit remplir trois conditions cumulatives : la poursuite d’un intérêt légitime par le responsable ou par un tiers ; la nécessité de traiter des données personnelles aux fins de la poursuite de l’intérêt légitime ; les intérêts ou libertés fondamentales et droits des individus ne doivent pas primer sur l’intérêt(s) légitime(s) du responsable ou d’un tiers (exercice d’équilibre).
    Les lignes directrices seront soumises à une consultation publique jusqu’au 20 novembre 2024.
  • Le Comité a adopté une déclaration (en anglais)   suite aux modifications apportées par le Parlement européen et le Conseil à la proposition de règlement de la Commission européenne établissant des règles de procédure supplémentaires relatives à l’application du RGPD. La déclaration accueille généralement les modifications introduites par le Parlement européen et le Conseil, et recommande de s’attaquer davantage à des éléments spécifiques afin que le nouveau règlement atteigne les objectifs d’optimisation de la coopération entre les autorités et d’amélioration de l’application du RGPD.
    La déclaration formule des recommandations pratiques qui peuvent être utilisées dans le cadre des trilogues à venir. En particulier, le CEPD réaffirme la nécessité d’une base légale et d’une procédure harmonisée pour les règlements amiables et formule des recommandations afin d’assurer que le consensus sur le résumé des questions clés soit atteint de la manière la plus efficace possible. Le Comité se réjouit également de l’inclusion de délais supplémentaires tout en rappelant qu’ils doivent être réalistes et exhorte les co-législateurs à supprimer les dispositions relatives aux objections pertinentes et motivées ainsi que la « déclaration de motifs » dans la procédure de résolution des litiges.La présidente du CEPD, Anu Talus, a déclaré : « Le projet de règlement a le potentiel de rationaliser considérablement l’application du RGPD en augmentant l’efficacité du traitement des affaires. Une plus grande harmonisation est nécessaire au niveau de l’UE, afin de maximiser l’efficacité de plein de mécanismes de coopération et de cohérence du RGPD. »

Disponible  sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

European Data Protection Board (EDPB)

EU-US Data Privacy Framework (DPF): L’EDPB publie une foire aux questions pour les personnes concernées mais et une autre pour les entreprises

Au cours de sa séance du 16 juillt 2024, l’EDPB a adopté 2 foires aux question afin d’aider les personnes concernées mais également les entreprises à « naviguer » parmi les règles relatives au Data Privacy Framework, qui encadre les transferts de données vers les Etats-Unis.  En guise d’introduction, l’EDPB rappelle que les entreprises qui se sont auto-certifiées dans le cadre du DPF doivent se conformer à ses principes, règles et obligations en matière de traitement des données à caractère personnel des personnes de l’EEE. La Commission européenne a estimé que les transferts de données à caractère personnel de l’EEE vers des entreprises certifiées au titre du DPF bénéficiaient d’un niveau de protection adéquat.

Dans ses FAQs, l’EDPB répond aux questions suivantes:
1- FAQ dédiée aux personnes concernées
Q1. Qu’est-ce que le cadre UE-États-Unis de protection des données personnelles ?
Q2. Comment puis-je bénéficier du cadre UE-États-Unis pour la protection des données personnelles ?
Q3. Comment déposer une plainte ?
Q4. Comment l’autorité nationale de protection des données traitera-t-elle ma plainte ?

2- FAQ dédiée aux entreprises
Q1. Qu’est-ce que le cadre UE-États-Unis de protection des données personnelles ?
Q2. Quelles sont les entreprises américaines éligibles au cadre UE-États-Unis de protection des données personnelles ?
Q3. Que faire avant de transférer des données à caractère personnel à une entreprise américaine qui est ou prétend être
certifiée au titre du cadre UE-États-Unis de protection des données à caractère personnel ?
Q4. Où puis-je trouver des conseils concernant la certification des filiales américaines d’entreprises européennes ?
entreprises européennes ?

Disponible (en anglais) sur: edpb.europa.eu (personnes concernées) et edpb.europa.eu (pour les entreprises)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Publication des lignes directrices sur l’article 37 de la directive Police-Justice

Comme annoncé lors de la publication de l’ordre du jour de sa séance plénière, le CEPD vient de publier ses lignes directrices 01/2023 sur l’article 37 de la directive Police-Justice, (cet article étant relatif aux transferts hors UE en l’absence de décision d’adéquation). Selon le résumé exécutif disponible sur le document, ces lignes directrices fournissent des orientations sur l’application de l’article 37 de la directive Police Justice, en particulier sur la norme juridique relative aux garanties appropriées à appliquer par les autorités compétentes en vertu de l’article 37, paragraphe 1, points a) et b), de la directive Police Justice et, par conséquent, sur les facteurs pertinents pour l’évaluation de l’existence de ces garanties. Elles  comprennent donc une indication des attentes de l’EDPB à l’égard des États membres, en tant que parties aux négociations, lorsqu’ils envisagent de conclure ou de modifier un instrument juridiquement contraignant entre le ou les États membres concernés et un pays tiers ou une organisation internationale en vertu de l’article 37, paragraphe 1, point a), de la directive relative à la protection des données.

L’EDPB note que l’article 35(3) LED s’applique aux transferts effectués en vertu de l’article 37 de la directive. Celui-ci devrait donc être appliqué à la lumière du principe selon lequel le niveau de protection des données applicable dans l’Union européenne ne doit pas être compromis par le transfert de données à caractère personnel vers une autre juridiction. L’EDPB conclut que l’article 37 exige un niveau de protection des données essentiellement équivalent dans le pays tiers ou l’organisation internationale destinataire. Toutefois, cette exigence est liée au transfert spécifique de données ou à la catégorie de transferts en question. Conformément à l’article 37, l’équivalence essentielle de la protection garantie par la directive Police-Justice doit être assurée pour ce cas particulier et pas nécessairement au regard de l’ensemble de la législation en vigueur dans le pays tiers ou l’organisation internationale.

Dans ce contexte, l’EDPB rappelle sa déclaration sur les accords internationaux, y compris les transferts, adoptée le 13 avril 2021, invitant les États membres à évaluer et, le cas échéant, à revoir leurs accords internationaux qui impliquent des transferts internationaux de données à caractère personnel. L’EDPB souligne qu’il convient d’envisager de mettre ces accords en conformité avec les exigences de la directive Police-Justice pour les transferts de données, lorsque ce n’est pas encore le cas, afin de s’assurer que le niveau de protection des personnes physiques garanti par la LED n’est pas compromis lorsque des données à caractère personnel sont transférées en dehors de l’Union.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données (EDPS)

L’EDPS a publié aujourd’hui ses lignes directrices sur l’intelligence artificielle générative et les données à caractère personnel pour les institutions, organes et organismes de l’UE (IUE)

AI

Les lignes directrices visent à aider les IUE à se conformer aux obligations en matière de protection des données énoncées dans le règlement (UE) 2018/1725, lors de l’utilisation ou du développement d’outils d’IA générative.

Wojciech Wiewiórowski, EDPS, a déclaré : « Les lignes directrices que j’ai publiées aujourd’hui sur l’IA générative sont une première étape vers des recommandations plus étendues en réponse au paysage évolutif des outils d’IA générative, que mon équipe et moi-même continuons à suivre et à analyser de près. Nos conseils publiés aujourd’hui ont été rédigés dans le but de couvrir le plus grand nombre possible de scénarios impliquant l’utilisation de l’IA générative, afin de fournir des conseils durables aux IUE pour qu’elles puissent protéger les informations personnelles et la vie privée des individus ».

Pour garantir leur application pratique par les institutions européennes, les lignes directrices mettent l’accent sur les principes fondamentaux de la protection des données, combinés à des exemples concrets, afin d’aider à anticiper les risques, les défis et les opportunités des systèmes et outils d’IA générative. Ainsi, les lignes directrices se concentrent sur une série de sujets importants, y compris des conseils sur la façon dont les IUE peuvent déterminer si l’utilisation de tels outils implique le traitement de données individuelles ; quand effectuer une évaluation de l’impact sur la protection des données ; et d’autres recommandations essentielles.

Disponible (en anglais) sur: edps.europa.eu Les lignes directrices sont également disponibles ici.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée. Disponible sur:

Comité européen sur la protection des données (EDPB)

Lors de sa dernière session plénière, l’EDPB a adopté une déclaration sur l’accès aux données financières et les services de paiement.

Le 28 juin 2023, la Commission européenne (CE) a publié trois propositions concernant les services de paiement et l’accès aux données financières. Le paquet législatif se compose d’une proposition de cadre pour l’accès aux données financières (FIDA), d’une proposition de règlement sur les services de paiement (PSR) et d’une proposition de directive sur les services de paiement (PSD3). Selon la Commission européenne, ces propositions visent à améliorer la protection des consommateurs et la concurrence dans le domaine des paiements électroniques, et à permettre aux consommateurs de partager leurs données afin d’accéder à une gamme plus large de produits et de services financiers moins chers. À cette fin, ces propositions développent le cadre juridique existant sur les services de paiement (notamment la deuxième directive sur les services de paiement, ou « DSP2 ») et établissent un nouveau cadre pour faciliter l’accès et le partage des données financières en ce qui concerne certains services financiers (FIDA).

Après divers échanges entre l’EDPB, l’EDPS et les autorités européennes ayant permis la prise en compte des premières recommandations formulées par les autorités, le CEPD estime qu’ « étant donné que les travaux du Conseil se concentrent sur la prévention de la fraude, la présente déclaration fournit des recommandations à cet égard, en s’appuyant sur l’expérience pratique des autorités nationales chargées de la protection des données en la matière. En particulier, l’EDPB considère que des garanties supplémentaires devraient être incluses dans la législation concernant le partage des données à des fins de fraude afin de garantir le droit fondamental à la protection des données« .

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Reconnaissance faciale dans les aéroports : les individus devraient avoir un contrôle maximal sur les données biométriques

Bruxelles, le 24 mai – Lors de sa dernière session plénière, l’EDPB a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports*. Cet avis au titre de l’article 64, paragraphe 2, fait suite à une demande de l’autorité française de protection des données et porte sur une question d’application générale produisant des effets dans plus d’un État membre.

L’avis analyse la compatibilité du traitement avec le principe de limitation du stockage (article 5, paragraphe 1, point e), du GDPR), le principe d’intégrité et de confidentialité (article 5, paragraphe 1, point f), du GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 du GPDR). GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 GPDR). Le respect des autres dispositions du GDPR, y compris en ce qui concerne la licéité du traitement, n’entre pas dans le champ d’application du présent avis**.

Il n’existe pas d’obligation légale uniforme dans l’UE pour les exploitants d’aéroports et les compagnies aériennes de vérifier que le nom figurant sur la carte d’embarquement du passager correspond au nom figurant sur sa pièce d’identité, et cette vérification peut être soumise aux législations nationales. Par conséquent, lorsqu’il n’est pas nécessaire de vérifier l’identité des passagers à l’aide d’un document d’identité officiel, il ne faut pas procéder à une telle vérification à l’aide de données biométriques, car cela entraînerait un traitement excessif des données.

Dans son avis, l’EDPB a examiné la conformité du traitement des données biométriques des passagers avec quatre types différents de solutions de stockage, allant de celles qui stockent les données biométriques uniquement entre les mains de l’individu à celles qui reposent sur une architecture de stockage centralisée avec différentes modalités. Dans tous les cas, seules les données biométriques des passagers qui s’inscrivent activement et consentent à participer doivent être traitées.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Actualité du CEPD : avis sur l’utilisation de la reconnaissance faciale par les aéroports et les compagnies aériennes

Le Comité européen de la protection des données (CEPD) a adopté un avis sur la reconnaissance faciale dans les aéroports indiquant que les individus doivent garder le contrôle sur leurs données biométriques. Le 24 mai 2024, le CEPD s’est réuni en session plénière. Au cours de cette séance, il a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports. Cet avis fait suite à une demande de la CNIL afin d’avoir une position harmonisée à l’échelle européenne face à une pratique qui tend à se répandre en Europe et au-delà.

Il est à noter que l’avis a une portée limitée et n’examine pas l’utilisation de la reconnaissance faciale en général et, en particulier, il ne couvre pas l’utilisation de la reconnaissance faciale à des fins de sécurité, de contrôle des frontières ou par les services répressifs.

Disponible sur: CNIL.fr

Comité européen sur la protection des données (EDPB)

📢Le guide de la protection des données de l’EDPB pour les #petitesentreprises est maintenant disponible en français et en allemand !

Le guide contient des informations pratiques pour aider les PME à se mettre en conformité avec le RGPD.

Les thématiques suivantes sont notamment évoquées:

  • Les bases de la protection des données
  • Le respect des droits des personnes
  • Sécuriser les données personnelles
  • Réagir face à une violation de données
  • Comment se mettre en conformité

Voilà un outil de plus dans le kit de formation des DPO !

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut