Bruxelles, le 24 janvier - Les 22 et 23 janvier, les autorités européennes chargées de la protection des données, assemblées au sein du Comité européen de la protection des données (EDPB), se sont réunies à l’occasion de leur sixième réunion plénière. Au cours de la séance plénière, un large éventail de sujets a été abordé.
Bouclier de protection des données
Les membres du Comité ont adopté le rapport concernant la deuxième évaluation annuelle du bouclier de protection des données UE‑États-Unis. Le Comité se félicite des efforts déployés par les autorités américaines et de la Commission européenne pour mettre en œuvre le bouclier de protection des données, en particulier des actions entreprises pour adapter la procédure de certification initiale, lancer les actions de surveillance de droit et les mesures d’application, ainsi que des efforts en ce qui concerne la publication d’un certain nombre de documents importants, en partie par déclassification (comme les décisions du tribunal de surveillance du renseignement extérieur), de la désignation d’un nouveau président et de trois nouveaux membres au conseil de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board, PCLOB) , ainsi que de la nomination, annoncée récemment, d’un médiateur permanent.
Compte tenu des conclusions du deuxième réexamen conjoint, la mise en œuvre du bouclier de protection des données continue de susciter les préoccupations suivantes. Elles portent notamment sur des points au sujet desquels le groupe de travail «Article 29» - le prédécesseur du Comité européen de la protection des données - avait déjà fait part de ses inquiétudes, tels que le manque d’assurances concrètes quant à l’exclusion de toute collecte indifférenciée de données et de tout accès aveugle aux données à caractère personnel à des fins de sécurité nationale. De la même façon, sur la base des informations communiquées à ce jour, le Comité européen de la protection des données n’est pas en mesure, en l’état actuel des choses, de considérer que le médiateur dispose de pouvoirs suffisants pour pouvoir remédier aux situations de non-conformité. Par ailleurs, le Comité fait remarquer que les vérifications portant sur le respect, en substance, des principes du bouclier de protection des données ne sont pas suffisamment efficaces.
En outre, le Comité européen de la protection des données tient à exprimer d’autres préoccupations relatives aux vérifications nécessaires en matière de conformité avec les exigences applicables aux transferts ultérieurs, au sens et à la portée des donnés liées aux ressources humaines et à la procédure de recertification, ainsi qu’à une liste de points divers soulevés après le premier réexamen conjoint, toujours en suspens.
Le retrait du Royaume-Uni
Le Comité européen de la protection des données a discuté des conséquences possibles du Brexit dans le domaine de la protection des données. Les membres ont convenu de coopérer et d’échanger des informations au sujet de leurs préparatifs et des outils disponibles pour ce qui est du transfert de données vers le Royaume-Uni une fois que ce dernier ne fera plus partie de l’UE.
Questions et réponses sur les essais cliniques
Saisi d'une demande émanant de la Commission européenne (DG SANTÉ), le Comité européen de la protection des données a adopté son avis sur les questions et réponses sur les essais cliniques. Dans cet avis, le Comité se penche en particulier sur les aspects relatifs aux bases juridiques adéquates dans le contexte des essais cliniques et sur les utilisations secondaires des données issues d’essais cliniques à des fins scientifiques. Cet avis va maintenant être transmis à la Commission européenne.
Listes relatives à l'AIPD
Le Comité européen de la protection des données a adopté des avis au sujet des listes liées à l’analyse d'impact relative à la protection des données (AIPD) que lui avaient transmis le Liechtenstein et la Norvège. Ces listes constituent un outil important pour l'application uniforme du RGPD dans l’ensemble de l’EEE. L’AIPD est un processus permettant d’identifier et d'atténuer les risques relatifs à la protection de données qui pourraient affecter les droits et libertés des personnes. Alors que, de manière générale, le responsable du traitement des données doit évaluer la nécessité d’une AIPD avant d'entamer le traitement, les autorités nationales de contrôle doivent déterminer les types d’opérations de traitement nécessitant une telle analyse, et en établir une liste. Ces deux avis s’inscrivent dans le droit fil des 22 avis adoptés pendant la séance plénière de septembre, et des quatre avis adoptés lors de la plénière de décembre, et contribueront eux aussi à la fixation de critères communs pour les listes relatives à l’AIPD à travers l’EEE.
Lignes directrices concernant la certification
Le Comité européen de la protection des données a adopté la version définitive des lignes directrices concernant la certification à la suite d’une consultation publique. De plus, le Comité a également adopté une nouvelle annexe. Une version provisoire des lignes directrices avait été adoptée en mai, lors de la première séance plénière du Comité. Le but premier de ces lignes directrices est de définir des critères généraux pouvant s’appliquer à tous les types de mécanisme de certification mis en place en vertu des articles 42 et 43 du RGPD. En tant que telles, les lignes directrices examinent la logique qui sous-tend la certification en tant qu’outil de responsabilisation, fournissent des explications au sujet des principales notions visées dans les dispositions des articles 42 et 43 portant sur la certification, expliquent la portée de ce qui peut être certifié et exposent dans les grandes lignes la finalité de la certification. Les lignes directrices aideront les États membres, les autorités de contrôle et les organismes nationaux d’accréditation au moment de réexaminer et d’approuver les critères de certification conformément aux articles 42 et 43 du RGPD. L’annexe fera l’objet d’une consultation publique.
Réponse à l’autorité de contrôle australienne au sujet des notifications de violation de données à caractère personnel
En octobre 2018, le président du Comité européen de la protection des données a reçu une demande écrite émanant du commissaire australien à l’information concernant la publication, par les autorités de contrôle, des notifications de violation de données. Le Comité se réjouit de la volonté du commissaire australien à l’information de coopérer avec lui sur cette question et souligne l’importance de la coopération internationale. Dans sa réponse, le Comité européen de la protection des données fournit de plus amples renseignements sur la question de savoir si et comment les autorités de contrôle gèrent la publication d’informations relatives aux notifications de violation de données à caractère personnel.