Bruxelles, le 8 juillet — Au cours de sa session plénière, le comité européen de la protection des données a adopté des lignes directrices sur les codes de conduite (CdC) en tant qu’outils pour les transferts. Le principal objectif des lignes directrices est de clarifier l’application de l’article 40, paragraphe 3, et de l’article 46, paragraphe 2, point e), du RGPD. Ces dispositions prévoient qu’une fois approuvé par une autorité de contrôle compétente et après s’être vu accorder une validité générale au sein de l’EEE par la Commission, un CDC peut également être adopté et utilisé par les responsables du traitement et les sous-traitants qui ne sont pas soumis au RGPD afin de fournir des garanties appropriées pour les transferts de données en dehors de l’UE. Les lignes directrices viennent compléter les Lignes directrices 1/2019 sur les codes de conduite établissant le cadre général de l’adoption des codes de conduite.
Le comité européen de la protection des données a adopté une version finale des Lignes directrices sur les assistants vocaux virtuels (AVV). Ces lignes directrices visent à fournir des recommandations aux parties intéressées concernées relativement à la manière de relever certains des défis de conformité les plus pertinents liés aux AVV. Après une consultation publique, les lignes directrices ont été actualisées en vue d’intégrer les commentaires reçus.
À la suite d’une consultation publique, le comité a adopté une version finale des Lignes directrices sur les notions de responsable du traitement et de sous-traitant. Ces lignes directrices ont pour vocation d'apporter des clarifications concernant des aspects fondamentaux tels que les responsables (conjoints) du traitement et les sous-traitants. La version finale des lignes directrices intègre une formulation actualisée et des clarifications supplémentaires propres à répondre aux commentaires et retours d'informations reçus dans le cadre de la consultation publique.
Suite à l'implantation de TikTok dans l'UE et à la localisation de son principal établissement en Irlande pour les affaires en cours liées à l'application TikTok, le comité a décidé de dissoudre son groupe de travail TikTok. Ce groupe de travail avait été créé pour coordonner les mesures potentielles des autorités de contrôle (AC) de l'EEE et pour acquérir une vue d'ensemble plus complète des modalités de traitement des informations et des pratiques de TikTok dans l'UE. Au moment de la création du groupe de travail, TikTok n'avait pas d'établissement principal dans l'UE et le groupe de travail avait pour but de faciliter l'échange d'informations entre les AC. Désormais, la procédure du guichet unique s'applique et l'AC irlandaise (DPC) a été désignée comme l'autorité chef de file en charge des dossiers.
Par conséquent, les AC associées au groupe de travail utiliseront les outils désignés dans le cadre du mécanisme de coopération, tout en tenant compte de l'article 64, paragraphe 2, du RGPD et de l'avis 8/2019 du comité sur la compétence d'une autorité de contrôle en cas de changement de circonstances concernant l'établissement principal ou unique. Plusieurs AC ont déjà transféré leurs enquêtes au DPC.
Les autorités de contrôle auront l’opportunité de tenir des discussions à ce sujet au sein du comité, et en particulier au sein de son sous-groupe d'experts en matière d'application.
Il est important de noter que le comité ne peut prendre des mesures que si le mécanisme de contrôle de la cohérence visé à l'article 63 du RGPD est déclenché. Après avoir adopté des mesures provisoires conformément à l'article 66, paragraphe 1, du RGPD et avoir reçu des assurances de TikTok concernant leur application, y compris des engagements pris par cette dernière concernant ses activités de traitement, l'AC italienne a établi qu’une décision urgente du comité ne lui était plus nécessaire.
Enfin, le comité a discuté des sujets possibles pour sa première mesure d'application coordonnée, suite à la décision du comité de mettre en place un cadre d'application coordonné le 20 octobre 2020. Le comité a décidé que la première mesure concernerait l'utilisation de services basés sur l'informatique en nuage par les organismes du secteur public et que des réflexions supplémentaires auront lieu en vue d’en préciser les détails et la portée dans les mois à venir.
Note aux éditeurs:
Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.