Dernières actualités : données personnelles

L’EDPB adopte une déclaration sur le rôle des autorités de protection des données dans le cadre de la loi sur l’IA

Lors de sa dernière séance plénière, le Comité européen de la protection des données (CEPD) a adopté une déclaration sur le rôle des autorités de protection des données (APD) dans le cadre de la loi sur l’intelligence artificielle (AI Act). Selon l’EDPB, les autorités de protection des données disposent déjà d’une expérience et d’une expertise en ce qui concerne l’impact de l’IA sur les droits fondamentaux, en particulier le droit à la protection des données à caractère personnel, et devraient donc être désignées comme autorités de surveillance du marché (MSA) dans un certain nombre de cas. Cela permettrait d’assurer une meilleure coordination entre les différentes autorités réglementaires, d’accroître la sécurité juridique pour toutes les parties prenantes et de renforcer la supervision et l’application de la loi sur l’IA et de la législation de l’UE sur la protection des données.

Dans sa déclaration, l’EDPB recommande ce qui suit :
* Comme l’indique déjà la loi sur l’IA, les autorités chargées de la protection des données devraient être désignées comme autorités de surveillance pour les systèmes d’IA à haut risque utilisés pour l’application de la loi, la gestion des frontières, l’administration de la justice et les processus démocratiques ;
* Les États membres devraient envisager de désigner les autorités de protection des données comme autorités de surveillance pour d’autres systèmes d’IA à haut risque, en tenant compte de l’avis de l’autorité nationale de protection des données, en particulier lorsque ces systèmes d’IA à haut risque appartiennent à des secteurs susceptibles d’avoir une incidence sur les droits et libertés des personnes physiques en ce qui concerne le traitement des données à caractère personnel ;
* Les autorités chargées de la protection des données, lorsqu’elles sont nommées en tant qu’autorités de surveillance, devraient être désignées comme points de contact uniques pour le public et les homologues au niveau des États membres et de l’UE ;
* Des procédures claires devraient être établies pour la coopération entre les ASM et les autres autorités de régulation chargées de superviser les systèmes d’IA, y compris les autorités de protection des données. En outre, une coopération appropriée doit être mise en place entre l’Office AI de l’UE et les DPA/EDPB.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

🗓️Demain, l’EDPB se réunit pour sa session plénière. Entre autres, l’EDPB discutera du rôle des « CNIL européennes » dans la mise en oeuvre de l’AI Act.

Demain, le Comité européen sur la protection des données se réunit pour son 95è réunion. Au programme notamment :
* L’adoption d’une déclaration sur le rôle des autorités chargées de la protection des données dans le cadre de la loi sur l’intelligence artificielle
* Des discussions sur la mise à jour des travaux concernant le rapport de la Commission européenne sur les 11 décisions d’adéquation et réaction éventuelle de l’EDPB

L’agenda complet est disponible ci-dessous.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Publication des lignes directrices sur l’article 37 de la directive Police-Justice

Comme annoncé lors de la publication de l’ordre du jour de sa séance plénière, le CEPD vient de publier ses lignes directrices 01/2023 sur l’article 37 de la directive Police-Justice, (cet article étant relatif aux transferts hors UE en l’absence de décision d’adéquation). Selon le résumé exécutif disponible sur le document, ces lignes directrices fournissent des orientations sur l’application de l’article 37 de la directive Police Justice, en particulier sur la norme juridique relative aux garanties appropriées à appliquer par les autorités compétentes en vertu de l’article 37, paragraphe 1, points a) et b), de la directive Police Justice et, par conséquent, sur les facteurs pertinents pour l’évaluation de l’existence de ces garanties. Elles  comprennent donc une indication des attentes de l’EDPB à l’égard des États membres, en tant que parties aux négociations, lorsqu’ils envisagent de conclure ou de modifier un instrument juridiquement contraignant entre le ou les États membres concernés et un pays tiers ou une organisation internationale en vertu de l’article 37, paragraphe 1, point a), de la directive relative à la protection des données.

L’EDPB note que l’article 35(3) LED s’applique aux transferts effectués en vertu de l’article 37 de la directive. Celui-ci devrait donc être appliqué à la lumière du principe selon lequel le niveau de protection des données applicable dans l’Union européenne ne doit pas être compromis par le transfert de données à caractère personnel vers une autre juridiction. L’EDPB conclut que l’article 37 exige un niveau de protection des données essentiellement équivalent dans le pays tiers ou l’organisation internationale destinataire. Toutefois, cette exigence est liée au transfert spécifique de données ou à la catégorie de transferts en question. Conformément à l’article 37, l’équivalence essentielle de la protection garantie par la directive Police-Justice doit être assurée pour ce cas particulier et pas nécessairement au regard de l’ensemble de la législation en vigueur dans le pays tiers ou l’organisation internationale.

Dans ce contexte, l’EDPB rappelle sa déclaration sur les accords internationaux, y compris les transferts, adoptée le 13 avril 2021, invitant les États membres à évaluer et, le cas échéant, à revoir leurs accords internationaux qui impliquent des transferts internationaux de données à caractère personnel. L’EDPB souligne qu’il convient d’envisager de mettre ces accords en conformité avec les exigences de la directive Police-Justice pour les transferts de données, lorsque ce n’est pas encore le cas, afin de s’assurer que le niveau de protection des personnes physiques garanti par la LED n’est pas compromis lorsque des données à caractère personnel sont transférées en dehors de l’Union.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

🗓️ Mardi et mercredi prochains, l’EDPB se réunit pour sa session plénière

Au programme, notamment :
* L’élection d’un nouveau vice-président de l’EDPB
* L’adoption des lignes directrices 01/2023 sur l’article 37 de la directive Police-Justice, cet article étant relatif aux transferts hors UE en l’absence de décision d’adéquation
* L’émission d’un avis au titre de l’article 64, paragraphe 1, point b), sur le projet de décision de la CNIL concernant un « Code de conduite pour les prestataires de services dans le domaine de la recherche clinique »

L’agenda complet est disponible ci-dessous !

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Lors de sa dernière session plénière, l’EDPB a adopté une déclaration sur l’accès aux données financières et les services de paiement.

Le 28 juin 2023, la Commission européenne (CE) a publié trois propositions concernant les services de paiement et l’accès aux données financières. Le paquet législatif se compose d’une proposition de cadre pour l’accès aux données financières (FIDA), d’une proposition de règlement sur les services de paiement (PSR) et d’une proposition de directive sur les services de paiement (PSD3). Selon la Commission européenne, ces propositions visent à améliorer la protection des consommateurs et la concurrence dans le domaine des paiements électroniques, et à permettre aux consommateurs de partager leurs données afin d’accéder à une gamme plus large de produits et de services financiers moins chers. À cette fin, ces propositions développent le cadre juridique existant sur les services de paiement (notamment la deuxième directive sur les services de paiement, ou « DSP2 ») et établissent un nouveau cadre pour faciliter l’accès et le partage des données financières en ce qui concerne certains services financiers (FIDA).

Après divers échanges entre l’EDPB, l’EDPS et les autorités européennes ayant permis la prise en compte des premières recommandations formulées par les autorités, le CEPD estime qu’ « étant donné que les travaux du Conseil se concentrent sur la prévention de la fraude, la présente déclaration fournit des recommandations à cet égard, en s’appuyant sur l’expérience pratique des autorités nationales chargées de la protection des données en la matière. En particulier, l’EDPB considère que des garanties supplémentaires devraient être incluses dans la législation concernant le partage des données à des fins de fraude afin de garantir le droit fondamental à la protection des données« .

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Rapport sur les travaux entrepris par la Taskforce ChatGPT

Lors de la réunion plénière de l’EDPB du 16 janvier 2024, il a été décidé de préciser le mandat de la task force et de publier un rapport décrivant les résultats intermédiaires de la task force ChatGPT.
Selon ce mandat, la taskforce doit :
– Échanger des informations entre les autorités de protection des données sur l’engagement avec l’OpenAI et les activités d’application en cours concernant ChatGPT.
– Faciliter la coordination de la communication externe par les autorités de protection des données concernant les activités d’application dans dans le contexte de ChatGPT.
– Identifier rapidement une liste de questions pour lesquelles une approche commune est nécessaire dans le contexte de différentes mesures d’exécution concernant ChatGPT prises par les autorités.

Compte tenu de la nature confidentielle des enquêtes, le présent rapport se réfère aux informations accessibles au public comme source supplémentaire pour fournir des informations sur la transparence, l’équité, l’exactitude des données et les droits des personnes concernées à l’égard du public.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Reconnaissance faciale dans les aéroports : les individus devraient avoir un contrôle maximal sur les données biométriques

Bruxelles, le 24 mai – Lors de sa dernière session plénière, l’EDPB a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports*. Cet avis au titre de l’article 64, paragraphe 2, fait suite à une demande de l’autorité française de protection des données et porte sur une question d’application générale produisant des effets dans plus d’un État membre.

L’avis analyse la compatibilité du traitement avec le principe de limitation du stockage (article 5, paragraphe 1, point e), du GDPR), le principe d’intégrité et de confidentialité (article 5, paragraphe 1, point f), du GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 du GPDR). GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 GPDR). Le respect des autres dispositions du GDPR, y compris en ce qui concerne la licéité du traitement, n’entre pas dans le champ d’application du présent avis**.

Il n’existe pas d’obligation légale uniforme dans l’UE pour les exploitants d’aéroports et les compagnies aériennes de vérifier que le nom figurant sur la carte d’embarquement du passager correspond au nom figurant sur sa pièce d’identité, et cette vérification peut être soumise aux législations nationales. Par conséquent, lorsqu’il n’est pas nécessaire de vérifier l’identité des passagers à l’aide d’un document d’identité officiel, il ne faut pas procéder à une telle vérification à l’aide de données biométriques, car cela entraînerait un traitement excessif des données.

Dans son avis, l’EDPB a examiné la conformité du traitement des données biométriques des passagers avec quatre types différents de solutions de stockage, allant de celles qui stockent les données biométriques uniquement entre les mains de l’individu à celles qui reposent sur une architecture de stockage centralisée avec différentes modalités. Dans tous les cas, seules les données biométriques des passagers qui s’inscrivent activement et consentent à participer doivent être traitées.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

🗓️Ce jeudi, l’EDPB se réunit en session plénière : à nouveau, elle a un agenda bien chargé.

Entre autres, l’EDPB discutera :
* Du rapport de la taskforce ChatGPT
* D’un avis sur l’article 64(2) sur l’utilisation de la reconnaissance faciale pour rationaliser le flux des passagers dans les aéroports.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.