Le Comité européen de la protection des données (EDPB), lors de sa dernière session plénière, a adopté l’avis sur certaines obligations découlant de la relation entre le gestionnaire, l’exécuteur et le sous-traitant ultérieur, les lignes directrices sur l’intérêt légitime, la déclaration sur l’établissement règles de procédure supplémentaires pour la mise en œuvre du règlement général sur la protection des données et du programme de travail de l’EDPB pour la période 2024-2025. En outre, la demande de l’Agence d’information et de protection de la vie privée du Kosovo de devenir observateur des activités du Comité européen de la protection des données (EDPB) a été adoptée.
Le directeur de l’Agence de protection des données personnelles et vice-président du Comité européen de la protection des données, Zdravko Vukić, a pleinement soutenu l’octroi du statut d’observateur à l’autorité de surveillance du Kosovo. Il a souligné que l’Agence d’information et de protection de la vie privée du Kosovo remplit tous les critères prescrits, c’est-à-dire qu’elle fonctionne de manière indépendante et qu’il est dans l’intérêt du Comité d’avoir l’organe de contrôle du Kosovo en tant qu’observateur, et que le Kosovo est un candidat potentiel. pour l’adhésion à l’UE, qui a pris des obligations internationales contraignantes pour harmoniser pleinement ses règles de protection des données avec celles de l’UE.
« L’une des priorités de l’Agence de protection des données personnelles est d’améliorer les normes de protection des données dans les Balkans occidentaux conformément aux normes de l’UE. Nous avons déployé des efforts considérables en Macédoine du Nord et sommes disposés à faire de même au Kosovo. L’harmonisation des normes de protection des données personnelles dans les Balkans occidentaux avec les normes de l’UE est importante pour l’ensemble des membres de l’UE et de l’EDPB. Je pense qu’accorder le statut d’observateur au Kosovo contribuera de manière significative à cet objectif et améliorera encore les pratiques de protection des données dans la région », a déclaré le vice-président de l’EDPB, Zdravko Vukić, et a souligné que l’Agence de protection des données personnelles a jusqu’à présent coopéré avec succès avec l’Agence de l’information et de la vie privée. Agence.
Le Comité européen pour la protection des données a adopté les lignes directrices sur le traitement des données personnelles fondé sur un intérêt légitime et l’Agence de protection des données personnelles a participé à l’équipe qui a rédigé les lignes directrices.
Ces lignes directrices analysent les critères établis à l’article 6, paragraphe 1, point (f) du règlement général sur la protection des données, que les responsables du traitement doivent remplir afin de traiter licitement des données à caractère personnel sur la base d’un intérêt légitime. Le récent arrêt de la Cour de justice de l’Union européenne sur cette question est également pris en compte (C-621/22, 4 octobre 2024).
Afin de pouvoir se prévaloir d’un intérêt légitime, le responsable du traitement doit remplir trois conditions cumulatives :
1. réalisation de l’intérêt légitime du responsable du traitement ou d’un tiers ;
2. la nécessité de traiter les données personnelles aux fins de réaliser un intérêt légitime ;
3. les intérêts ou les libertés et droits fondamentaux des personnes ne prévalent pas sur les intérêts légitimes du responsable du traitement ou d’un tiers (équilibrage).
Tout d’abord, seuls des intérêts légitimes, clairement et précisément formulés, réels et présents peuvent être considérés comme légitimes. Par exemple, de tels intérêts légitimes pourraient exister dans une situation où un individu est client ou au service d’un responsable du traitement. Deuxièmement, s’il existe des alternatives raisonnables, tout aussi efficaces, mais moins intrusives, pour atteindre les intérêts souhaités, le traitement ne peut pas être considéré comme nécessaire. La nécessité du traitement doit également être examinée conformément au principe de minimisation des données. Troisièmement, le responsable du traitement doit veiller à ce que son intérêt légitime ne prévale pas sur les intérêts de la personne humaine, les droits et libertés fondamentaux. Lors de cette évaluation, le responsable du traitement doit prendre en compte les intérêts des personnes physiques, les effets du traitement et leurs attentes raisonnables, ainsi que l’existence de mesures de protection supplémentaires qui pourraient limiter les effets sur la personne. Ces lignes directrices expliquent également comment cette évaluation doit être réalisée dans la pratique, entre autres dans un certain nombre de contextes spécifiques tels que la prévention de la fraude, le marketing direct et la sécurité de l’information. Le document explique également la relation entre cette base juridique et un certain nombre de droits des personnes concernées conformément au règlement général sur la protection des données.
Les orientations seront soumises à consultation publique jusqu’au 20 novembre 2024.
Le Comité européen de la protection des données a également adopté un avis sur certaines obligations découlant de la relation entre le gestionnaire, l’exécuteur et le sous-traitant ultérieur , sur la base de la demande de l’autorité danoise de protection des données envoyée au Comité conformément à l’article 64, paragraphe 2 du Règlement Général sur la Protection des Données. L’avis fait référence à l’interprétation de certaines obligations du responsable du traitement qui dépendent des sous-traitants et sous-traitants, ainsi qu’au texte du contrat entre le responsable du traitement et le sous-traitant. L’avis explique que les responsables du traitement devraient à tout moment disposer d’informations facilement accessibles sur l’identité (c’est-à-dire nom, adresse, personne de contact) de tous les sous-traitants, sous-traitants ultérieurs, etc. afin de remplir au mieux leurs obligations en vertu de l’article 28 du règlement général sur les protection des données. En outre, l’obligation du responsable du traitement de vérifier qu’il existe des « garanties suffisantes » du (sous-)sous-traitant devrait s’appliquer quel que soit le risque pour les droits et libertés de la personne concernée, même si l’étendue de cette vérification peut varier, notamment en fonction de les risques liés au traitement. L’avis indique également que, bien que le sous-traitant initial doive veiller à proposer des sous-traitants ultérieurs présentant des garanties suffisantes, la décision finale et la responsabilité d’engager un sous-traitant ultérieur spécifique restent prises par le responsable du traitement.
Le Comité européen de la protection des données estime que, conformément au règlement général sur la protection des données, le responsable du traitement n’est pas obligé d’exiger systématiquement que les contrats de retraitement vérifient si les obligations en matière de protection des données ont été transférées tout au long de la chaîne de traitement. Le responsable du traitement devrait évaluer s’il est nécessaire de demander une copie de ces contrats ou de les examiner afin de démontrer la conformité avec le règlement général sur la protection des données.
En outre, si des transferts de données personnelles en dehors de l’Espace économique européen ont lieu entre deux (sous-)traitants, le sous-traitant en tant qu’exportateur de données doit préparer la documentation pertinente, telle que celle relative à la base du transfert utilisé, l’évaluation de l’impact de le transfert et les éventuelles mesures complémentaires. Toutefois, étant donné que le responsable du traitement est toujours soumis aux obligations découlant de l’article 28, paragraphe 1, du règlement général sur la protection des données concernant les « garanties suffisantes », en plus de celles de l’article 44, pour garantir que les transferts de données à caractère personnel ne compromettent pas le niveau de protection des données, il doit évaluer cette documentation et être en mesure de la présenter à l’autorité de protection des données.
En outre, la commission a adopté la déclaration après les modifications apportées par le Parlement européen et le Conseil à la proposition de règlement de la Commission établissant des règles de procédure supplémentaires dans le cadre de la mise en œuvre de la loi sur la sécurité sociale.
La déclaration salue de manière générale les changements introduits par le Parlement européen et le Conseil et recommande un examen plus approfondi d’éléments spécifiques afin d’atteindre les objectifs du nouveau règlement consistant à simplifier la coopération entre les autorités et à améliorer la mise en œuvre du règlement général sur la protection des données.
La Déclaration fournit des recommandations pratiques qui peuvent être utilisées dans le contexte des prochains trilogues. En particulier, l’EDPB réitère la nécessité d’une base juridique et d’une procédure harmonisée pour les règlements négociés et formule des recommandations pour garantir qu’un consensus sur un résumé des questions clés soit atteint de la manière la plus efficace possible. Le Comité se félicite également de l’inclusion de délais supplémentaires et rappelle qu’ils doivent être réalistes et encourage les colégislateurs à supprimer les dispositions relatives aux objections et au « raisonnement » pertinents et motivés dans le processus de règlement des différends.
Même si la Déclaration salue l’objectif d’une plus grande transparence, l’introduction d’un dossier commun, comme le propose le Parlement européen, nécessiterait des changements complexes dans les systèmes de gestion documentaire et de communication utilisés aux niveaux européen et national. Les solutions techniques pour sa mise en œuvre devraient être soigneusement évaluées et les moyens d’accorder l’accès à ces solutions devraient être davantage clarifiés.
Le Comité européen de la protection des données salue l’amendement du Conseil permettant à l’autorité principale de protection des données d’être exemptée de la coopération dite renforcée dans des cas simples, mais souligne la nécessité de clarifier davantage la portée de cette exemption.
La présidente du Comité européen de la protection des données, Anu Talus, a déclaré : « Le projet de règlement pourrait simplifier considérablement la mise en œuvre du règlement général sur la protection des données en augmentant l’efficacité du traitement des dossiers. Une plus grande harmonisation au niveau de l’UE est nécessaire pour maximiser l’efficacité des mécanismes de coopération et de cohérence du règlement général sur la protection des données.»
Enfin, le Comité a adopté son programme de travail pour la période 2024-2025 . Il s’agit du premier des deux programmes de travail qui mettront en œuvre la stratégie du CEPD pour la période 2024-2027. adoptée en avril 2024. Elle s’appuie sur les priorités énoncées dans la stratégie du Comité européen de la protection des données et prend en compte les besoins identifiés comme les plus importants pour les parties prenantes.