Dernières actualités : données personnelles

Rapport annuel 2024 de l’EDPB : protéger les données à caractère personnel dans un paysage en mutation

Le comité européen de la protection des données (CEPD) a aujourd’hui publié son rapport annuel 2024. Celui-ci donne un aperçu des travaux du comité européen de la protection des données menés en 2024 et examine les étapes importantes, telles que l’adoption de la stratégie 2024-2027, l’augmentation des avis de cohérence au titre de l’article 64, paragraphe 2, et la poursuite des efforts visant à fournir des orientations et des conseils juridiques.  Le président du comité européen de la protection des données, Anu Talus, a déclaré : « En revenant sur le travail accompli au cours de l’année écoulée, je suis fier de présenter nos réalisations. En 2024, nous avons réaffirmé notre engagement à protéger les droits fondamentaux des personnes à la vie privée et à la protection des données dans un paysage numérique en mutation rapide.

Voici les points clés:
* Une nouvelle stratégie du comité européen de la protection des données : la stratégie 2024-2027, qui définit notamment les principales priorités et actions visant à renforcer et à moderniser la protection des données dans toute l’Europe,

* Rôle central du comité européen de la protection des données dans la fourniture d’orientations et de conseils juridiques : En 2024, le comité a adopté huit avis au titre de l’article 64, paragraphe 2, du RGPD, notamment sur les modèles de consentement ou de paiement utilisés par les grandes plateformes en ligne, l’utilisation de la reconnaissance faciale dans les aéroports et l’utilisation de données à caractère personnel pour former des modèles d’IA. Ces avis traitent d’une question d’application générale et garantissent la cohérence avant l’application.

* Engagement proactif avec les parties prenantes : En 2024, l’EDPB a continué de dialoguer avec les parties prenantes afin de favoriser un dialogue ouvert et une compréhension mutuelle entre les régulateurs, les représentants du secteur, les organisations de la société civile et les établissements universitaires.

* Contribuer à la cooperation en matière de réglementation croisée : Les nouvelles législations numériques, notamment la législation sur les marchés numériques, la législation sur les services numériques, la législation sur l’IA, la législation sur la gouvernance des données et la législation sur les données, s’appuient sur le RGPD. Afin de garantir la cohérence de l’application entre le RGPD et ces actes, l’EDPB a activement contribué à la coopération en matière de réglementation croisée en nouant le dialogue avec des partenaires européens et internationaux, y compris le Bureau de l’IA de l’UE et le groupe de haut niveau sur la législation sur les marchés numériques.

* Rendre le RGPD compréhensible et pratique pour tous

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’EDPB adopte des lignes directrices sur le traitement des données personnelles via des blockchains

Lors de sa plénière d’avril 2025, le Comité européen de la protection des données (EDPB) a adopté des lignes directrices sur le traitement des données personnelles via les technologies blockchain. Une blockchain est un système de registre numérique distribué qui peut confirmer les transactions et établir qui possédait un actif numérique (tel qu’une cryptomonnaie) à un moment donné. Les blockchains peuvent également soutenir la gestion et le transfert sécurisés des données, garantissant leur intégrité et leur traçabilité.

Alors que l’utilisation des technologies blockchain s’élargit, le Comité considère qu’il est important d’aider les organisations utilisant ces technologies à se conformer au RGPD. Dans ses lignes directrices, l’EDPB explique comment fonctionnent les blockchains, en évaluant les différentes architectures possibles et leurs implications pour le traitement des données personnelles. Les lignes directrices soulignent l’importance de mettre en œuvre des mesures techniques et organisationnelles dès les premières étapes de la conception du traitement. L’EDPB précise également que les rôles et responsabilités des différents acteurs dans un traitement de données personnelles lié à la blockchain doivent être évalués lors de la conception du traitement. De plus, les organisations doivent réaliser une Analyse d’impact sur la protection des données (AIPD) avant de traiter des données personnelles via les technologies blockchain, lorsque le traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes.

Les lignes directrices seront soumises à une consultation publique jusqu’au 9 juin 2025, offrant aux parties prenantes l’opportunité de commenter.
Lors de sa dernière plénière, l’EDPB a également décidé de coopérer étroitement avec le Bureau de l’IA concernant l’élaboration des lignes directrices sur l’interaction entre la loi sur l’IA et la législation européenne sur la protection des données.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’EDPB adopte une déclaration sur la mise en œuvre de la directive relative aux dossiers passagers (PNR)

Lors de sa réunion plénière de mars 2025, le comité européen de la protection des données (CEPD) a adopté une déclaration sur la mise en œuvre de la directive relative aux données des dossiers passagers (PNR) à la lumière de l’arrêt de la Cour de justice de l’Union européenne (CJUE) dans l’affaire C-817/19. Dans sa deuxième déclaration sur la mise en œuvre de la directive PNR, qui fait suite à celle du 15 décembre 2022, le comité donne des orientations supplémentaires aux unités de renseignements passagers sur les adaptations et limitations nécessaires au traitement des données des dossiers passagers, à la suite de l’arrêt PNR. Les données des dossiers passagers sont des informations personnelles fournies par les passagers, collectées et conservées par les transporteurs aériens, qui comprennent les noms des passagers, les dates de voyage, les itinéraires, les sièges, les bagages, les coordonnées et les moyens de paiement.

La déclaration comprend des recommandations pratiques pour les législations nationales transposant la directive PNR afin de donner effet aux conclusions de la Cour de justice de l’Union européenne dans l’arrêt PNR. Les recommandations couvrent certains des aspects clés de l’arrêt PNR, tels que la manière dont les pays européens devraient sélectionner les vols à partir desquels les données des dossiers passagers sont collectées, ou la durée de conservation des données des dossiers passagers. Selon le comité, la durée de conservation de toutes les données PNR ne devrait pas dépasser une période initiale de six mois. Passé ce délai, les pays européens ne pourront conserver les données des dossiers passagers que le temps nécessaire et proportionné aux objectifs de la directive PNR.

Le comité est conscient que certains pays européens ont déjà entamé le processus d’adaptation, mais que les efforts de mise en œuvre dans l’ensemble des États membres font encore cruellement défaut. Par conséquent, dans sa déclaration, l’EDPB souligne la nécessité urgente de mettre en œuvre les modifications nécessaires et de modifier les législations nationales en tenant compte de l’arrêt PNR dès que possible.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CEF 2025 : Lancement d’une mise en œuvre coordonnée du droit à l’effacement

Le comité européen de la protection des données (CEPD) a aujourd’hui annoncé avoir lancé son action relative au cadre coordonné de mise en œuvre (CEF) pour 2025. À la suite d’une action coordonnée d’un an sur le droit d’accès en 2024, le CEF se concentrera cette année sur la mise en œuvre d’un autre droit à la protection des données, à savoir le droit à l’effacement ou le « droit à l’oubli » (article 17 du RGPD). Le comité a choisi ce sujet lors de sa session plénière d’octobre 2024, car il s’agit de l’un des droits les plus fréquemment exercés au titre du RGPD et au sujet duquel les APD reçoivent fréquemment des plaintes de particuliers. En 2025, 32 autorités de protection des données (APD) de toute l’Europe participeront à cette initiative.

Les APD participantes :
* contacteront bientôt un certain nombre de responsables de traitements de différents secteurs à travers l’Europe, soit en ouvrant de nouvelles enquêtes formelles, soit en effectuant des exercices d’établissement des faits. Dans ce dernier cas, ils pourraient également décider d’entreprendre des actions de suivi supplémentaires si nécessaire.
* vérifieront comment les responsables du traitement traitent et répondent aux demandes d’effacement qu’ils reçoivent et, en particulier, comment ils appliquent les conditions et exceptions pour l’exercice de ce droit.
* resteront également en contact étroit pour partager et discuter de leurs conclusions tout au long de cette année. Les résultats de ces actions nationales seront agrégés et analysés ensemble afin de mieux comprendre le sujet, ce qui permettra d’assurer un suivi ciblé tant au niveau national qu’au niveau de l’UE.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le CEPD adopte une déclaration sur l’assurance d’âge, crée un groupe de travail sur l’application de l’IA et donne des recommandations à l’AMA

Lors de sa réunion plénière de février 2025, le Comité européen de la protection des données (CEPD) a adopté trois nouveaux documents / décisions:

1- Dans une déclaration sur l’assurance d’âge, le CEPD énonce dix principes pour le traitement conforme des données personnelles lors de la détermination de l’âge ou de la tranche d’âge d’un individu. La déclaration vise à garantir une approche européenne cohérente de l’assurance d’âge, pour protéger les mineurs tout en respectant les principes de protection des données.

2- Le Comité a également décidé d’étendre le champ d’action du groupe de travail ChatGPT à l’application de l’IA. De plus, les membres du CEPD ont souligné la nécessité de coordonner les actions des autorités de protection des données (APD) concernant les questions sensibles urgentes et à cet effet, un équipe de réponse rapide sera mise en place.

3- Enfin, le CEPD a adopté des recommandations concernant le Code mondial antidopage de l’AMA pour 2027. Lors du traitement des données personnelles à des fins antidopage, il est essentiel de respecter et de protéger les données personnelles des athlètes. Dans de nombreux cas, cela impliquera le traitement de données personnelles sensibles, telles que des données de santé dérivées d’échantillons biologiques.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’EDPB recense les obstacles à la pleine mise en œuvre du droit d’accès dans un rapport

Le comité européen de la protection des données (CEPD, EDPB en anglais) a annoncé aujourd’hui avoir adopté un rapport sur la mise en œuvre du droit d’accès des responsables du traitement. Le rapport résume les résultats d’une série d’actions nationales coordonnées menées en 2024 au titre du cadre de mise en œuvre coordonnée (CEC). Il énumère les problèmes qui ont été observés pour certains contrôleurs, ainsi qu’une série de recommandations pour les aider à mettre en œuvre le droit d’accès. Un élément central est la connaissance, par les responsables du traitement, des lignes directrices 01/2022 du comité européen de la protection des données sur les droits des personnes concernées – Droit d’accès et si ces lignes directrices ont été suivies dans la pratique.

Les résultats suggèrent qu’une sensibilisation accrue aux lignes directrices 01/2022 [disponibles ici] est nécessaire.  En effet, à la suite de l’action, sept défis ont été recensés, notamment:
* L’absence de procédures internes documentées pour traiter les demandes d’accès.
* Des interprétations incohérentes et excessives des limites du droit d’accès ont également été observées, telles que le recours excessif à certaines exceptions pour refuser automatiquement les demandes d’accès.
* Des obstacles que les personnes pourraient rencontrer lorsqu’elles exercent leur droit d’accès, comme les exigences formelles ou le fait d’être invitées à fournir des documents d’identification excessifs.

Pour chaque défi identifié, le rapport fournit une liste de recommandations non contraignantes à prendre en compte par les responsables du traitement et les APD. Malgré les difficultés existantes, deux tiers des APD participantes ont évalué le niveau de conformité des responsables du traitement ayant répondu en ce qui concerne le droit d’accès de « moyen » à « élevé ». Un facteur important identifié comme ayant une incidence sur le niveau de conformité était le volume de demandes d’accès reçues par les responsables du traitement, ainsi que la taille de l’organisation. Plus précisément, les contrôleurs de grande taille ou les contrôleurs recevant plus de demandes étaient plus susceptibles d’atteindre un niveau de conformité plus élevé que les petites organisations disposant de moins de ressources.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’EDPB adopte des lignes directrices sur la pseudonymisation et ouvre la voie à l’amélioration de la coopération avec les autorités de concurrence

Lors de sa réunion plénière de janvier 2025, le comité européen de la protection des données (CEPD) a adopté des lignes directrices sur la pseudonymisation, ainsi qu’une déclaration sur l’interaction entre le droit de la concurrence et la protection des données.

1- Le RGPD introduit le terme « pseudonymisation » et le désigne comme une garantie qui peut être appropriée et efficace pour satisfaire aux obligations en matière de protection des données. Dans ses lignes directrices, l’EDPB clarifie la définition et l’applicabilité de la pseudonymisation et des données pseudonymisées, ainsi que les avantages de la pseudonymisation. Les lignes directrices apportent deux clarifications juridiques importantes :

• Les données pseudonymisées, qui pourraient être attribuées à une personne par l’utilisation d’informations supplémentaires, restent des informations relatives à une personne physique identifiable et restent donc des données à caractère personnel.
• La pseudonymisation peut réduire les risques et faciliter l’utilisation d’intérêts légitimes comme base juridique [article 6, paragraphe 1, point f), du RGPD], pour autant que toutes les autres exigences du RGPD soient respectées. De même, elle peut contribuer à garantir la compatibilité avec l’objectif initial (article 6, paragraphe 4, du RGPD).

2 – Au cours de la réunion plénière, l’EDPB a également adopté un document de prise de position sur l’interaction entre le droit de la protection des données et le droit de la concurrence. L’arrêt Meta/Bundeskartellamt de la CJUE du 4 juillet 2023 [disponible ici] a clairement indiqué que les autorités chargées de la protection des données et de la concurrence sont tenues de travailler ensemble, dans certains cas, pour parvenir à une application efficace et coordonnée du droit de la protection des données et de la concurrence. Bien qu’il s’agisse de domaines distincts du droit poursuivant des objectifs différents dans des cadres différents, ils peuvent dans certains cas s’appliquer aux mêmes entités. Il est donc important d’évaluer les situations où les lois peuvent se croiser.

L’EDPB explique comment la protection des données et le droit de la concurrence interagissent. Il propose des mesures pour intégrer les facteurs liés au marché et à la concurrence dans les pratiques en matière de protection des données et pour que les règles de protection des données soient prises en considération dans les évaluations de la concurrence. Il formule également des recommandations en vue d’améliorer la coopération entre les organismes de réglementation. Par exemple : les autorités devraient envisager de créer un point de contact unique pour gérer la coordination avec les autres organismes de réglementation.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.