Bruxelles, le 20 juillet — Lors de sa 34e session plénière, le comité européen de la protection des données a adopté une déclaration sur l’arrêt de la CJUE dans l’affaire Facebook Ireland/Schrems. Le comité européen de la protection des données a adopté des lignes directrices sur l’interaction entre la deuxième directive sur les services de paiement (DSP2) et le RGPD, ainsi qu’une lettre de réponse adressée à Mme Ďuriš Nicholsonová, députée au Parlement européen, sur le suivi des contacts, l’interopérabilité des applications et les AIPD.
Le comité européen de la protection des données a adopté une déclaration sur l’arrêt de la Cour de justice de l’Union européenne dans l’affaire C-311/18 — Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, qui annule la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis et considère comme valide la décision 2010/87 de la Commission relative aux clauses contractuelles types (CTT) pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.
Pour ce qui est du bouclier de protection des données, le comité européen de la protection des données souligne que, conformément à cet arrêt, l’UE et les États-Unis devraient parvenir à la mise en place d’un cadre complet et efficace garantissant que le niveau de protection accordé aux données à caractère personnel aux États-Unis est substantiellement équivalent à celui garanti au sein de l’UE. Le comité européen de la protection des données entend continuer de jouer un rôle constructif en vue de garantir un transfert transatlantique de données à caractère personnel qui bénéficie aux citoyens et aux organisations de l’EEE et il est disposé à fournir à la Commission européenne une assistance et des orientations pour l’aider à construire, de concert avec les États-Unis, un nouveau cadre qui respectera pleinement le droit de l’UE en matière de protection des données.
En ce qui concerne les clauses contractuelles types, le comité européen de la protection des données prend acte de la responsabilité première de l’exportateur et de l’importateur, au moment de décider de souscrire ou non à ces clauses, afin de garantir que celles-ci garantissent un niveau de protection substantiellement équivalent à celui garanti par le RGPD lu à la lumière de la Charte de l’UE. Lorsqu’il effectue cette évaluation préalable, l’exportateur (si nécessaire, avec l’aide de l’importateur) prend en considération le contenu desdites clauses, les circonstances spécifiques du transfert et le régime juridique applicable dans le pays de l’importateur. La Cour souligne que l’exportateur peut être amené à envisager de mettre en place des mesures qui viendront s’ajouter à celles prévues dans les CCT. Le comité européen de la protection des données examinera de manière plus approfondie en quoi ces mesures supplémentaires pourraient consister.
Le comité européen de la protection des données prend également acte de l’obligation pour les autorités de contrôle compétentes de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses contractuelles types, lorsque l’autorité de contrôle compétente estime, à la lumière de toutes les circonstances de ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées ne peut pas être assurée par d’autres moyens, en particulier lorsque le responsable du traitement ou le sous-traitant n’ont pas déjà eux-mêmes suspendu le transfert ou mis un terme à celui-ci.
Le comité européen de la protection des données rappelle qu’il a adopté des lignes directrices relatives à l’article 49 du RGPD et que de telles dérogations doivent s’appliquer au cas par cas.
Le comité européen de la protection des données examinera l’arrêt de manière plus approfondie et apportera des clarifications supplémentaires à l’intention des parties intéressées; il formulera également des orientations sur l’utilisation des instruments en vue du transfert de données à caractère personnel vers des pays tiers conformément à cet arrêt. Le comité européen de la protection des données et ses autorités de contrôle européennes sont également disposés à garantir la cohérence dans l’ensemble de l’EEE, comme l’a indiqué la CJUE.
L’intégralité de la déclaration est disponible ici: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en
Le comité européen de la protection des données a adopté des lignes directrices concernant la deuxième directive sur les services de paiement (DSP2). La DSP2 modernise le cadre juridique applicable au marché des services de paiement. Fait important, la DSP2 introduit un cadre juridique pour les nouveaux prestataires de services d’initiation de paiement (PSIP) et prestataires de services d’information sur les comptes (PSIC). Les utilisateurs peuvent demander que ces nouveaux prestataires de services de paiement soient autorisés à accéder à leurs comptes de paiement. Faisant suite à un atelier regroupant les acteurs du secteur en février 2019, le comité européen de la protection des données a élaboré des lignes directrices relatives à l’application du RGPD aux nouveaux prestataires de services de paiement.
Ces lignes directrices relèvent que, dans ce contexte, le traitement portant sur des catégories particulières de données à caractère personnel est, de manière générale, interdit (conformément à l’article 9, paragraphe 1, du RGPD), sauf si la personne concernée a donné son consentement explicite [article 9, paragraphe 2, point a), du RGPD] ou si le traitement est nécessaire pour des motifs d’intérêt public important [article 9, paragraphe 2, point g), du RGPD].
Les lignes directrices abordent également les conditions dans lesquelles les prestataires de services de paiement gestionnaires du compte (PSPGC) permettent aux PSIP et aux PSIC d’accéder aux informations sur les comptes de paiement, notamment en ce qui concerne l’accès aux données granulaires contenues dans les comptes de paiement.
Les lignes directrices précisent que l’article 66, paragraphe 3, point g), et l’article 67, paragraphe 2, point f), de la DSP2 ne permettent aucun traitement supplémentaire, sauf si la personne concernée a consenti au traitement conformément à l’article 6, paragraphe 1, point a), du RGPD ou si le traitement est régi par le droit de l’UE ou le droit d’un État membre. Ces lignes directrices feront l’objet d’une consultation publique.
Enfin, le comité européen de la protection des données a adopté une lettre en réponse aux questions de Mme Ďuriš Nicholsonová, députée au Parlement européen, concernant la protection des données dans le cadre de la lutte contre la COVID-19. La lettre traite des questions relatives à l’harmonisation et à l’interopérabilité des applications de suivi des contacts, à la nécessité de procéder à une AIPD pour le traitement des données dans ce contexte et à la période pendant laquelle un tel traitement peut être réalisé.
EDPB_Press Release_2020_12