Bruxelles, le 9 octobre - Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a adopté un avis sur certaines obligations découlant du recours au(x) sous-traitant(s) et au(x) sous-traitant(s), des lignes directrices sur l’intérêt légitime, une déclaration sur l’établissement de règles de procédure supplémentaires pour l’application du RGPD et le programme de travail du CEPD pour 2024-2025.
Premièrement, l’EDPB a adopté un avis sur certaines obligations découlant du recours au(x) sous-traitant(s) et sous-traitant(s) à la suite d’une demande adressée au comité par l’autorité danoise de protection des données (DPA) au titre de l’article 64, paragraphe 2, du RGPD. L’article 64, paragraphe 2, du RGPD dispose que toute APD peut demander au comité d’émettre un avis sur des questions d’application générale ou produisant des effets dans plus d’un État membre.
L’avis porte sur les situations dans lesquelles les responsables du traitement s’appuient sur un ou plusieurs sous-traitants et sous-traitants. En particulier, elle aborde huit questions relatives à l’interprétation de certaines obligations des responsables du traitement s’appuyant sur des sous-traitants et des sous-traitants ultérieurs, ainsi que le libellé des contrats entre responsables du traitement et sous-traitants ultérieurs, découlant notamment de l’article 28 du RGPD.
L’avis explique que les responsables du traitement devraient disposer à tout moment des informations sur l’identité (c’est-à-dire le nom, l’adresse, la personne de contact) de tous les sous-traitants, sous-traitants ultérieurs, etc., afin de pouvoir s’acquitter au mieux de leurs obligations au titre de l’article 28 du RGPD. En outre, l’obligation du responsable du traitement de vérifier si les (sous-)traitants présentent des «garanties suffisantes» devrait s’appliquer indépendamment du risque pour les droits et libertés des personnes concernées, bien que l’étendue de cette vérification puisse varier, notamment en fonction des risques associés au traitement.
L'avis indique également que si le sous-traitant initial doit s'assurer qu'il propose des sous-traitants avec des garanties suffisantes, la décision finale et la responsabilité d'engager un sous-traitant spécifique restent du ressort du responsable du traitement.
L’EDPB considère qu’en vertu du RGPD, le responsable du traitement n’a pas l’obligation de demander systématiquement aux contrats de sous-traitement de vérifier si les obligations en matière de protection des données ont été transmises tout au long de la chaîne de traitement. Le responsable du traitement devrait évaluer s’il est nécessaire de demander une copie de ces contrats ou de les examiner pour pouvoir démontrer la conformité avec le RGPD.
En outre, lorsque des transferts de données à caractère personnel en dehors de l’Espace économique européen ont lieu entre deux (sous-)sous-traitants, le sous-traitant en tant qu’exportateur de données devrait préparer la documentation pertinente, notamment en ce qui concerne le motif du transfert utilisé, l’analyse d’impact du transfert et les éventuelles mesures supplémentaires. Toutefois, étant donné que le responsable du traitement est toujours soumis aux obligations découlant de l’article 28, paragraphe 1, du RGPD en ce qui concerne les «garanties suffisantes», outre celles prévues à l’article 44 pour garantir que le niveau de protection n’est pas compromis par les transferts de données à caractère personnel, il devrait évaluer cette documentation et être en mesure de la présenter à l’autorité compétente en matière de protection des données.
Ensuite, le comité a adopté des lignes directrices sur le traitement des données à caractère personnel fondé sur un intérêt légitime.
Les responsables du traitement ont besoin d'une base juridique pour traiter légalement les données à caractère personnel. L'intérêt légitime est l'une des six bases juridiques possibles.
Les présentes lignes directrices analysent les critères énoncés à l’article 6, paragraphe 1, point f), du RGPD que les responsables du traitement doivent remplir pour traiter légalement des données à caractère personnel sur la base d’un intérêt légitime. Elle tient également compte de l’arrêt récent de la Cour de justice de l’Union européenne sur cette question (C-621/22, 4 octobre 2024).
Pour pouvoir invoquer un intérêt légitime, le responsable du traitement doit remplir trois conditions cumulatives:
-
la poursuite d'un intérêt légitime par le responsable du traitement ou par un tiers;
-
la nécessité de traiter des données à caractère personnel aux fins de la poursuite de l'intérêt légitime;
-
Les intérêts ou les libertés et droits fondamentaux des personnes ne prévalent pas sur les intérêts légitimes du responsable du traitement ou d’un tiers (exercice d’équilibrage).
Tout d’abord, seuls les intérêts licites, clairement et précisément articulés, réels et présents peuvent être considérés comme légitimes. Par exemple, de tels intérêts légitimes pourraient exister dans une situation où la personne est un client ou au service du responsable du traitement.
Deuxièmement, s'il existe des alternatives raisonnables, tout aussi efficaces, mais moins intrusives pour atteindre les intérêts poursuivis, le traitement peut ne pas être considéré comme nécessaire. La nécessité d'un traitement devrait également être examinée dans le cadre du principe de minimisation des données.
Troisièmement, le responsable du traitement doit veiller à ce que son intérêt légitime ne l’emporte pas sur les intérêts individuels, les droits fondamentaux des libertés. Dans cet exercice de mise en balance, le responsable du traitement doit tenir compte des intérêts des personnes, de l’incidence du traitement et de leurs attentes raisonnables, ainsi que de l’existence de garanties supplémentaires qui pourraient limiter l’incidence sur la personne.
En outre, les présentes lignes directrices expliquent comment cette évaluation devrait être réalisée dans la pratique, y compris dans un certain nombre de contextes spécifiques tels que la prévention de la fraude, le marketing direct et la sécurité de l’information. Le document explique également la relation entre cette base juridique et un certain nombre de droits des personnes concernées en vertu du RGPD.
Les lignes directrices feront l’objet d’une consultation publique jusqu’au 20 novembre 2024.
Ensuite, le comité a adopté une déclaration à la suite des modifications apportées par le Parlement européen et le Conseil à la proposition de règlement de la Commission européenne établissant des règles de procédure supplémentaires relatives à l’application du RGPD.
D’une manière générale, la déclaration se félicite des modifications introduites par le Parlement européen et le Conseil et recommande de continuer à traiter des éléments spécifiques afin que le nouveau règlement atteigne les objectifs de rationalisation de la coopération entre les autorités et d’amélioration de l’application du RGPD.
La déclaration formule des recommandations pratiques qui pourraient être utilisées dans le cadre des trilogues à venir. En particulier, l’EDPB réaffirme la nécessité d’une base juridique et d’une procédure harmonisée pour les règlements à l’amiable et formule des recommandations afin de garantir que le consensus sur le résumé des questions clés soit atteint de la manière la plus efficace possible. Le comité se félicite également de l’inclusion de délais supplémentaires, tout en rappelant qu’ils doivent être réalistes, et invite instamment les colégislateurs à supprimer les dispositions relatives aux objections pertinentes et motivées et à l’«exposé des motifs» dans la procédure de règlement des litiges.
Si la déclaration se félicite de l’objectif d’une transparence accrue, l’introduction d’un dossier commun, telle que proposée par le Parlement européen, nécessiterait des modifications complexes des systèmes de gestion documentaire et de communication utilisés aux niveaux européen et national. Les solutions techniques pour sa mise en œuvre devraient être soigneusement évaluées et les modalités d'octroi de l'accès à celle-ci devraient être clarifiées.
L’EDPB se félicite de l’amendement du Conseil permettant à l’APD chef de file de renoncer à la coopération renforcée dans des cas simples et simples, mais il souligne la nécessité de clarifier davantage la portée de cette dérogation.
Le président du comité européen de la protection des données, Anu Talus, a déclaré: «Le projet de règlement est susceptible de rationaliser considérablement l’application du RGPD en augmentant l’efficacité du traitement des dossiers. Une harmonisation accrue est nécessaire au niveau de l’UE, afin de maximiser la pleine efficacité des mécanismes de coopération et de cohérence du RGPD.»
Lors de sa dernière session plénière, le conseil a adopté son programme de travail pour 2024-2025. Il s’agit du premier des deux programmes de travail qui mettront en œuvre la stratégie du comité européen de la protection des données pour la période 2024-2027 adoptée en avril 2024. Il se fonde sur les priorités fixées dans la stratégie du comité européen de la protection des données et tient également compte des besoins recensés comme les plus importants pour les parties prenantes.
Enfin, les membres du comité européen de la protection des données sont convenus d’accorder le statut d’observateur aux activités du comité européen de la protection des données à l’Agence kosovare de l’information et de la vie privée (Kosovan DPA), conformément à l’article 8 du règlement intérieur du comité européen de la protection des données.
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.