Bruxelles, le 17 juin – Lors de sa 32e séance plénière, le comité européen de la protection des données (ci-après «le comité» ou l’«EDPB») a adopté une déclaration sur l’interopérabilité des applications de traçage de contacts, ainsi qu’une déclaration sur l’ouverture des frontières et les droits en matière de protection des données. L’EDPB a également adopté deux lettres adressées au député européen Körner – sur le cryptage et sur l’article 25 du RGPD – et une lettre destinée au CEAOB concernant les accords PCAOB.
L’EDPB a adopté une déclaration sur l’interopérabilité des applications de traçage des contacts, fondée sur les lignes directrices 04/2020 du comité relatives à l’utilisation de données de localisation et d’outils de recherche de contacts dans le cadre de la pandémie de COVID-19. La déclaration contient une analyse plus approfondie des aspects essentiels, notamment la transparence, la base juridique, le statut de responsable du traitement, les droits des personnes concernées, la conservation et la minimisation des données, la sécurité de l’information et l’exactitude des données dans le cadre de la création d’un réseau interopérable d’applications, qui doivent être pris en compte en sus de ceux mis en évidence dans les lignes directrices 04/2020 de l’EDPB.
Le comité souligne que le partage de données sur des personnes qui ont été diagnostiquées ou testées positives au moyen de ces applications interopérables ne devrait être déclenché que par une action volontaire de l’utilisateur. Donner aux personnes concernées des informations et un contrôle sur leurs données renforcera leur confiance dans les solutions proposées et leur acceptation potentielle. L’objectif d’interopérabilité ne devrait pas servir de prétexte pour étendre la collecte de données à caractère personnel au-delà de ce qui est nécessaire.
De plus, les applications de traçage de contacts doivent s’inscrire dans une stratégie globale de santé publique visant à lutter contre la pandémie, comme le dépistage et le traçage manuel ultérieur des contacts afin d’améliorer l’efficacité des mesures prises.
Assurer l’interopérabilité des applications est non seulement difficile sur le plan technique, et parfois impossible sans compromis disproportionnés, mais cela entraîne également un risque potentiel accru pour la protection des données. Les responsables du traitement doivent donc veiller à ce que les mesures soient efficaces et proportionnées et ils doivent déterminer si une solution moins intrusive permet d’atteindre le même but.
L’EDPB a adopté une déclaration sur le traitement des données à caractère personnel dans le cadre de la réouverture des frontières Schengen à la suite de la pandémie de COVID-19. Les mesures autorisant une réouverture en toute sécurité des frontières qui sont actuellement envisagées ou mises en œuvre par les États membres incluent le dépistage de la COVID-19, le fait d’exiger des certificats délivrés par des professionnels de la santé et l’utilisation d’une application de traçage volontaire des contacts. La plupart des mesures impliquent le traitement de données à caractère personnel.
L’EDPB rappelle que la législation en matière de protection des données reste d’application et permet de réagir efficacement à la pandémie, tout en protégeant les droits et libertés fondamentaux. Le comité souligne que le traitement des données à caractère personnel doit être nécessaire et proportionné et que le niveau de protection doit être équivalent dans l’ensemble de l’EEE. Dans sa déclaration, l’EDPB invite instamment les États membres à adopter une approche européenne commune pour décider quel traitement de données à caractère personnel est nécessaire dans ce contexte.
La déclaration énonce également les principes du RGPD auxquels les États membres doivent accorder une attention particulière lors du traitement de données à caractère personnel dans le cadre de la réouverture des frontières. Il s’agit notamment de la licéité, de l’équité et de la transparence du traitement, de la limitation de la finalité, de la minimisation des données, de la limitation de la durée de conservation, de la sécurité des données, ainsi que de la protection des données dès la conception et par défaut. En outre, la décision d’autoriser l’entrée sur le territoire d’un pays ne devrait pas reposer uniquement sur des technologies automatisées de prise de décisions individuelles. En tout état de cause, de telles décisions devraient être assorties de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée ainsi que le droit d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision. Les mesures automatisées de prise de décisions individuelles ne devraient pas s’appliquer aux enfants.
Enfin, l’EDPB souligne l’importance d’une consultation préalable des autorités nationales de contrôle compétentes lorsque les États membres envisagent de traiter des données à caractère personnel dans ce contexte.
L’EDPB a adopté une réponse à une lettre du député européen Moritz Körner sur la pertinence des interdictions de cryptage dans les pays tiers pour évaluer le niveau de la protection des données lorsque des données à caractère personnel sont transférées vers des pays où de telles interdictions existent. De l’avis du comité, toute interdiction du cryptage ou toute disposition visant à affaiblir le cryptage porterait gravement atteinte au respect des obligations de sécurité énoncées dans le RGPD à l’égard des responsables du traitement et des sous-traitants, que ce soit dans un pays tiers ou au sein de l’EEE. Les mesures de sécurité sont l’un des éléments dont la Commission européenne doit tenir compte lorsqu’elle évalue le caractère adéquat du niveau de protection dans un pays tiers.
Une seconde lettre destinée au député européen Körner concerne les caches des caméras d’ordinateur portable. Le député européen Körner a indiqué que cette technologie pourrait contribuer à la mise en conformité avec le RGPD et a suggéré que les nouveaux ordinateurs portables en soient équipés. Dans sa réponse, l’EDPB précise que, bien qu’il convienne d’inciter les fabricants d’ordinateurs portables à tenir compte du droit à la protection des données lorsqu’ils développent et conçoivent ces produits, ils ne sont pas responsables du traitement effectué avec ces produits et le RGPD n’impose aucune obligation légale aux fabricants, à moins qu’ils n’agissent en qualité de responsables du traitement ou de sous-traitants. Les responsables du traitement doivent évaluer les risques liés à chaque traitement et choisir les garanties appropriées pour se conformer au RGPD, notamment la protection des données dès la conception et la protection des données par défaut, visées à l’article 25 du RGPD.
Enfin, le comité européen de la protection des données a adopté une lettre destinée au comité des organes européens de supervision de l’audit (CEAOB). L’EDPB a reçu une proposition du CEAOB, qui regroupe les organes nationaux du supervision de l’audit au niveau de l’UE, en vue de coopérer et de recevoir des informations sur les négociations relatives au projet de dispositions administratives pour le transfert de données à la Commission de surveillance de la comptabilité des sociétés cotées en bourse (PCAOB) des États-Unis. L’EDPB se réjouit de cette proposition et indique qu’il est prêt à avoir un échange de vues avec le CEAOB afin de clarifier toute question sur les exigences en matière de protection des données concernant ces modalités à la lumière des lignes directrices 2/2020 de l’EDPB sur l’article 46, paragraphe 2, point a), et l’article 46, paragraphe 3, point b), du RGPD pour les transferts de données à caractère personnel entre les autorités publiques de l’EEE et de pays tiers. L’échange de vues pourrait également inclure le PCAOB, si le CEAOB et ses membres le jugent utile pour leurs travaux sur ces dispositions.
Note aux éditeurs:
Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.