Le 17 janvier 2025, le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur le recours au pseudonyme et fait des propositions pour renforcer la coopération avec les autorités de la concurrence.
Le CEPD explicite l’utilisation du recours au pseudonyme pour être conforme au RGPD
Le RGPD, à son article 4, introduit le terme « pseudonymisation ». Il y fait référence comme une garantie qui peut être appropriée et efficace pour répondre aux obligations en matière de protection des données. Dans ses lignes directrices, le CEPD clarifie la définition de la pseudonymisation et la manière dont elle s’applique.
Les lignes directrices précisent deux points juridiques importants :
- Les données pseudonymisées restent toujours des informations relatives à une personne physique identifiable. Elles constituent toujours des données personnelles.
- La pseudonymisation peut réduire les risques et faciliter l’utilisation d’intérêts légitimes comme base légale (article 6.1.f du RGPD), à la condition que toutes les autres exigences du RGPD soient respectées.
Ainsi, la pseudonymisation peut aider les organisations à remplir leurs obligations relatives à la mise en œuvre des principes de protection des données (article 5 du RGPD), de protection des données dès la conception et par défaut (article 25 du RGPD) et de sécurité (article 32 du RGPD).
Enfin, en cas de recours à la pseudonymisation, les lignes directrices analysent les mesures techniques et les garanties, pour garantir la confidentialité et empêcher l’identification non autorisée des individus.
Ces lignes directrices seront soumises à une consultation publique jusqu’au 28 février 2025. Les contributions peuvent être transmises à l’aide du formulaire disponible sur le site du CEPD.
Le CEPD propose de renforcer la coopération entre régulateurs pour faciliter l’interaction entre le droit de la protection des données et le droit de la concurrence
Le CEPD a exprimé dans un document sa position sur l’interaction entre le droit de la protection des données et le droit de la concurrence.
L’arrêt Meta contre Bundeskartellamt de la Cour de Justice de l’Union européenne du 4 juillet 2023 a clairement indiqué que les autorités de protection des données et de concurrence sont tenues de travailler ensemble, dans certains cas, pour parvenir à une application efficace et coordonnée du droit de la protection des données et du droit de la concurrence. Ces domaines du droit distincts poursuivent des objectifs et des cadres différents, mais ils peuvent dans certains cas s’appliquer aux mêmes entités. Il faut donc bien évaluer les recoupements.
Dans sa prise de position, le CEPD explique comment la protection des données et le droit de la concurrence interagissent. Il suggère des étapes pour intégrer les facteurs de marché et de concurrence dans les pratiques de protection des données et pour que les règles de protection des données soient prises en compte dans les évaluations de la concurrence. Il fournit des recommandations pour améliorer la coopération entre les régulateurs. Ainsi, les autorités devraient envisager de créer un point de contact unique pour gérer la coordination avec d’autres régulateurs.