Dernières actualités : données personnelles

Exprimez votre intérêt à participer à l’événement EDPB avec les parties prenantes sur les prochaines lignes directrices sur le modèle du « Pay or Okay »

Le Comité européen de la protection des données (EDPB) organise un événement à distance pour les parties prenantes, qui aura lieu le 18 novembre 2024 de 10h00 à 16h00 CET (heure exacte à confirmer), afin de recueillir les commentaires des parties prenantes dans le cadre des lignes directrices à venir sur l’application de la législation relative à la protection des données dans le contexte des modèles « Consent or Pay » (consentement ou paiement).

L’objectif de cet événement est de recueillir les points de vue pertinents des organisations qui ont une expertise dans les modèles « Consent or Pay », qui exigent que les personnes concernées choisissent entre consentir au traitement des données personnelles pour une finalité spécifique ou payer une redevance. Cet événement contribuera aux travaux en cours de l’EDPB sur les lignes directrices relatives aux modèles « Consent or Pay ».Ces lignes directrices s’inscrivent dans le prolongement de l’avis 08/2024 de l’EDPB, qui traitait du modèle « Consentement ou paiement » dans le contexte des grandes plateformes en ligne. Les lignes directrices auront un champ d’application plus large.

Pour plus d’informations rendez-vous ci-dessous !

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Publication des lignes directrices sur l’article 37 de la directive Police-Justice

Comme annoncé lors de la publication de l’ordre du jour de sa séance plénière, le CEPD vient de publier ses lignes directrices 01/2023 sur l’article 37 de la directive Police-Justice, (cet article étant relatif aux transferts hors UE en l’absence de décision d’adéquation). Selon le résumé exécutif disponible sur le document, ces lignes directrices fournissent des orientations sur l’application de l’article 37 de la directive Police Justice, en particulier sur la norme juridique relative aux garanties appropriées à appliquer par les autorités compétentes en vertu de l’article 37, paragraphe 1, points a) et b), de la directive Police Justice et, par conséquent, sur les facteurs pertinents pour l’évaluation de l’existence de ces garanties. Elles  comprennent donc une indication des attentes de l’EDPB à l’égard des États membres, en tant que parties aux négociations, lorsqu’ils envisagent de conclure ou de modifier un instrument juridiquement contraignant entre le ou les États membres concernés et un pays tiers ou une organisation internationale en vertu de l’article 37, paragraphe 1, point a), de la directive relative à la protection des données.

L’EDPB note que l’article 35(3) LED s’applique aux transferts effectués en vertu de l’article 37 de la directive. Celui-ci devrait donc être appliqué à la lumière du principe selon lequel le niveau de protection des données applicable dans l’Union européenne ne doit pas être compromis par le transfert de données à caractère personnel vers une autre juridiction. L’EDPB conclut que l’article 37 exige un niveau de protection des données essentiellement équivalent dans le pays tiers ou l’organisation internationale destinataire. Toutefois, cette exigence est liée au transfert spécifique de données ou à la catégorie de transferts en question. Conformément à l’article 37, l’équivalence essentielle de la protection garantie par la directive Police-Justice doit être assurée pour ce cas particulier et pas nécessairement au regard de l’ensemble de la législation en vigueur dans le pays tiers ou l’organisation internationale.

Dans ce contexte, l’EDPB rappelle sa déclaration sur les accords internationaux, y compris les transferts, adoptée le 13 avril 2021, invitant les États membres à évaluer et, le cas échéant, à revoir leurs accords internationaux qui impliquent des transferts internationaux de données à caractère personnel. L’EDPB souligne qu’il convient d’envisager de mettre ces accords en conformité avec les exigences de la directive Police-Justice pour les transferts de données, lorsque ce n’est pas encore le cas, afin de s’assurer que le niveau de protection des personnes physiques garanti par la LED n’est pas compromis lorsque des données à caractère personnel sont transférées en dehors de l’Union.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Les modèles « Consent or Pay » devraient offrir un véritable choix

Bruxelles, le 17 avril – Lors de sa dernière session plénière, l’EDPB a adopté un avis à la suite d’une demande au titre de l’art. 64(2) du RGPD par les autorités de protection des données (DPA) néerlandaises, norvégiennes et hambourgeoises. L’avis porte sur la validité du consentement au traitement des données à caractère personnel à des fins de publicité comportementale dans le contexte des modèles « consentement ou paiement » déployés par les grandes plateformes en ligne.

En ce qui concerne les modèles de « consentement ou paiement » mis en œuvre par les grandes plateformes en ligne (le terme n’ayant pas la même définition que pour le DMA/DSA), l’EDPB considère que, dans la plupart des cas, il ne leur sera pas possible de se conformer aux exigences relatives à un consentement valable s’ils ne donnent aux utilisateurs que le choix entre consentir au traitement des données à caractère personnel à des fins de publicité comportementale et payer une redevance. L’EDPB considère que les grandes plateformes en ligne devraient envisager de fournir aux individus une « alternative équivalente » qui n’implique pas le paiement d’une redevance. Si les responsables du traitement choisissent de faire payer l’accès à l' »alternative équivalente », ils doivent envisager sérieusement d’offrir une alternative supplémentaire. Cette alternative gratuite devrait être sans publicité comportementale, par exemple avec une forme de publicité impliquant le traitement de moins ou pas de données à caractère personnel. Il s’agit d’un facteur particulièrement important dans l’évaluation d’un consentement valable au titre du RGPD.

[Ajout contextuel Portail RGPD: Le CEPD semble ne pas totalement fermer la porte à la pratique du « Pay or Okay », mais il semble chercher à la restreindre autant que possible, quitte à la rendre quasiment impraticable. Il précise néanmoins que, le cas échéant, les autorités devront procéder à des analyses au cas par cas, en ce compris l’évaluation du caractère approprié et proportionnel du montant fixé par le responsable de traitement. D’après certaines analyses, cela pourrait être un moyen pour le CEPD d’éviter l’annulation de son avis par le CJUE au motif qu’il ne serait pas compétent pour interdire la pratique de manière générale (tout comme le Conseil d’Etat avait annulé les lignes directrices de la CNIL en matière de cookies sur ce fondement il y a quelques années).]

Disponible (en anglais) sur: edpb.europa.eu L’avis complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.