A l’occasion de la célébration de la 17ème Journée de la Protection des Données le 28 janvier, l’Autorité de Protection des Données a organisé avec succès lundi 30 janvier une journée d’information intitulée « Enjeux actuels de la protection des données personnelles – évolutions récentes » dans l’auditorium de la Fondation Nationale de la Recherche. , avec des intervenants membres et des experts scientifiques de l’Autorité.
Les salutations ont été prononcées par Konstantinos Menoudakos , président de l’Autorité, président honoraire du Conseil d’État. L’événement s’est déroulé en présence de Georgios Batzalexis , vice-président de l’Autorité, émérite Areopagitis, Dimitrios Gourgourakis , ancien président de l’Autorité et vice-président honoraire de la Cour suprême, Christos Geraris , ancien président de l’Autorité et président honoraire du Conseil de l’Europe et Petros Christoforos , ancien président de l’Autorité et conseiller honoraire Co.
Points clés des discours – présentations :
Le président de l’Autorité, Konstantinos Menoudakos , dans son salut sous forme de bilan, a déclaré entre autres :
« Depuis le 25/5/2018, date de début d’application du Règlement Général sur la Protection des Données, jusqu’en décembre 2021, le montant total des amendes au niveau européen s’élevait à plus de 1,5 milliard d’euros, alors qu’en décembre 2022 il s’élevait à près de 2,5 milliards. euros. L’Autorité grecque, malgré les problèmes persistants de sous-effectif et de ressources suffisantes, a répondu en 2022 dans toute la mesure du possible aux responsabilités et devoirs qui lui sont assignés par le règlement européen et la loi nationale 4624/2019. Parmi ses nombreuses activités, l’Autorité a examiné des questions importantes et a rendu de nombreuses décisions et avis. Dans le même temps, elle a répondu à ses obligations européennes et internationales permanentes et a été activement présente dans les groupes de travail et comités fonctionnant sur la base de la législation européenne sur la protection des données personnelles. Dans ses priorités pour 2023, elle doit consacrer une plus grande part de son activité à l’action d’office et notamment aux travaux d’audit et aux initiatives de sensibilisation à l’information, notamment des enfants, ainsi qu’à l’analyse des nouvelles technologies et des modèles économiques du perspective de la protection des données et contribution aux efforts de recherche dans le domaine de la protection des données et de la sécurité de l’information. Cependant, la taille extrêmement réduite de l’Autorité est inversement proportionnelle à l’étendue de ses compétences, à la complexité des interventions requises qu’elle est appelée à mettre en œuvre et aux attentes et exigences de la société à l’égard de l’Autorité.
Dans la première partie de la conférence, animée par le président de l’Autorité, le Dr. Konstantinos Limniotis , EEP, a développé une présentation intitulée « Certification du traitement des données personnelles – aperçu de la situation actuelle » , dans laquelle il a décrit les développements les plus récents dans le domaine de la certification des opérations de traitement des données conformément à l’article 42 du Règlement général sur la protection des données. Régulation. Plus précisément, après avoir expliqué la procédure suivie pour l’approbation des critères de certification soit par une autorité de contrôle nationale, soit par le Comité européen de la protection des données (EDPB), les avis pertinents de l’EDPB qui ont été émis à ce jour concernant l’examen des critères de certification, ou pour les systèmes de certification nationaux ou pour les « timbres » de certification européens. En conclusion, certains aspects clés ont été présentés, suite à l’expérience acquise dans le cadre de l’émission des avis pertinents du DUME, sur la manière dont les critères de certification doivent être élaborés pour être évalués comme valables, tandis qu’en fin de compte il a été fait référence à la réalité grecque jusqu’à aujourd’hui, ainsi que dans les questions connexes ouvertes qui sont déjà examinées par le CEPD.
Puis Maria Alikakou , DN, EEP, dans sa présentation intitulée « Accord UE-États-Unis sur les flux transatlantiques de données : véritable protection des données ou juste accord politique ? a déclaré entre autres :
« À la suite de la décision de la Cour de justice de l’Union européenne (CJUE C131/2018) de l’été 2020 connue sous le nom de « SCHREMS II », qui a annulé le Privacy Shield, les transferts de données de l’Union européenne vers les États-Unis ont été essentiellement abandonnés. dans le noir. Un nouveau mécanisme offrant les garanties imposées par la décision de la CJUE devait être convenu immédiatement. Après près de deux ans de négociations entre la Commission européenne (UE) et le gouvernement américain, l’« Accord de principe » a été publié en mars 2022, suivi du décret 14086 du président Biden en octobre 2022, qui contenait l’accord de principe convenu. « . Ce décret constitue la base du projet de décision d’adéquation préparé par l’UE et soumis en décembre 2022 à l’EDPB pour l’émission d’un avis non contraignant ouvrant le processus d’approbation d’une décision d’adéquation pertinente (UE-États-Unis) ».
Dans son discours, le cadre juridique proposé pour la protection des données (RPD) a été analysé, ses points positifs ont été soulignés sur la base des exigences de la CJUE et, finalement, des préoccupations majeures ont été soulignées sur des points spécifiques du DPR en question, qui, comme elle l’a souligné, « peut échouer, de facto, à être mis en œuvre dans la pratique, rendant ainsi le DPA proposé inefficace et, éventuellement, aboutir à un SCHREMS III ».
La première partie s’est terminée par la présentation de Fai Karvela , LLM Eur., EEP, intitulée « La certification comme outil pour les transferts internationaux » dans laquelle, entre autres, elle a noté :
« La certification, en tant qu’outil de responsabilisation, est inscrite à l’article 42 du RGPD et concerne les opérations de traitement des responsables du traitement ou des sous-traitants. En outre, cela est inscrit à l’article 46, paragraphe 2, point. du RGPD et comme outil de transmission de données personnelles à des pays tiers ou à des organisations internationales. Dans ce contexte, la certification est accordée aux responsables du traitement ou sous-traitants qui ne sont pas soumis au RGPD afin de prouver qu’ils fournissent des garanties appropriées conformément aux dispositions de l’article 46 alinéa 2 lettre f. En outre, les responsables du traitement et les sous-traitants susmentionnés sont tenus de contracter des obligations contraignantes et exécutoires, généralement par le biais de contrats, afin de mettre en œuvre ces garanties appropriées. Le processus d’octroi de certification dans le cadre de transferts repose sur l’évaluation de critères, dont certains sont spécifiques aux exigences qui se posent lors du transfert de données en dehors de l’UE.
Dans la deuxième partie de la conférence, animée par le vice-président de l’Autorité, George Batzalexis, le Dr. Ephrosyne Siugle , EEP, a prononcé un discours intitulé « Cloud Computing Services and Data Protection Issues » dans lequel elle a déclaré :
« Le Comité européen de la protection des données (EDPB) a créé le cadre d’application coordonné (CEF) sur la base de la stratégie 2021-2023 pour promouvoir la coopération entre les autorités de contrôle. Le CEF fournit la structure et les règles permettant de coordonner les actions conjointes annuelles régulières des autorités de surveillance. En octobre 2021, le DUME a choisi pour la 1ère Action CEF le thème suivant : « Utilisation des services de cloud computing par les organismes publics. De novembre 2021 à janvier 2023, 22 autorités de contrôle, dont l’autorité grecque, ont mené une enquête coordonnée à l’échelle nationale. Après avoir défini le calendrier et la méthodologie de l’action 1, ils ont envoyé un questionnaire structuré, composé de 5 sections et 33 questions, à environ 100 organismes publics et ont préparé un rapport analysant les résultats. Cette action reflète la situation actuelle et présente plusieurs points d’intérêt pour les responsables du traitement et les sous-traitants. La première action du CEF se poursuivra en 2023 avec des actions ultérieures telles que la finalisation des enquêtes en cours, une coopération plus poussée avec les parties prenantes, l’émission de recommandations pertinentes ou la prise de mesures correctives si nécessaire. La méthodologie et l’approche harmonisée de cette action faciliteront les prochaines actions MIE de la PESD ».
Ensuite Christos Kalloniatis , professeur du Département de technologie culturelle et de communication de l’Université de la mer Égée, membre de l’Autorité et Konstantinos Lambrinoudakis , professeur du Département de systèmes numériques de l’Université du Pirée, membre de l’Autorité, dans leur présentation intitulée « Réglementation générale et protection des données personnelles : de la conformité aux normes à l’application substantielle » notait entre autres :
« Le règlement général sur la protection des données, dans le but de faciliter les responsables du traitement, propose des « outils » spécifiques, tels que, à titre indicatif, la tenue de registres d’activité, la préparation d’une étude d’impact, la nomination d’un délégué à la protection des données, l’adoption de directives techniques. mesures, etc., qui peuvent être utilisées pour la conformité formelle mais surtout essentielle de chaque organisation aux exigences du règlement et également pour faciliter le principe de responsabilité.
Néanmoins, parmi les incidents qui ont préoccupé et continuent de préoccuper l’Autorité, il existe de nombreux cas où les responsables du traitement adoptent les outils de conformité mentionnés ci-dessus sans une étude approfondie des caractéristiques particulières du traitement des données personnelles, ce qui conduit finalement à une application inefficace des la réglementation. L’objectif de la présentation est, d’une part, de mettre en évidence les incidents qui ont préoccupé l’Autorité en raison de la mise en œuvre inefficace du règlement et, d’autre part, de présenter des propositions pour la mise en œuvre substantielle et efficace du règlement.
La deuxième partie s’est terminée par la présentation de Georgia Panagopoulos , MSc Computer Engineer, EEP, dans sa présentation intitulée « Internet of Behavior and Personal Data Protection Issues » , qui a noté, entre autres :
« L’Internet du comportement est une combinaison de technologie, d’analyse de données et de science du comportement, dans le but de fournir des services plus efficaces en interprétant et en influençant le comportement des utilisateurs. L’analyse des données générées par l’interaction des services et des objets physiques connectés à Internet se fait en utilisant les capacités de l’apprentissage automatique et de l’intelligence artificielle. Cela implique des questions complexes de confidentialité et de sécurité qui incluent les obligations des parties impliquées, les droits des utilisateurs et le mode de surveillance. Le RGPD comprend des dispositions en matière de profilage et de prise de décision automatisée, qui ont été interprétées dans les lignes directrices du CEPD avec des recommandations de bonnes pratiques. Les exigences de la directive sur les communications électroniques s’appliquent aux techniques de suivi. Les réglementations pertinentes sont également incluses dans les récentes initiatives législatives de l’UE. Les autorités de protection des données jouent un rôle très important à la fois dans l’élaboration des réglementations et dans la surveillance du secteur.
Dr George Roussopoulos , qui a cité entre autres :
« Bien que l’Autorité de protection des données soit un service public important et essentiel, son secrétariat, en tant que service, est extrêmement petit. Son sujet est devenu beaucoup plus exigeant et des scientifiques spécialisés entreprennent la préparation de tous les aspects du travail principal de l’Autorité, tant en Grèce qu’en Europe. Pendant une décennie, les scientifiques de l’Autorité ont soutenu son fonctionnement sans rien ajouter, malgré de nombreux départs et démissions. Récemment, le recrutement de 13 nouveaux scientifiques a ramené son nombre aux niveaux de… 2008. Mais, sans différenciation salariale, comme cela a déjà été fait dans d’autres Autorités et services, une nouvelle vague de démissions est attendue, comme le proposent les Les propositions du président de l’Autorité visant à améliorer les salaires des nouveaux collègues ne semblent pas être entendues. L’Union réclame immédiatement une solution sur les salaires des scientifiques spécialisés de l’Autorité et annonce qu’elle va intensifier ses mobilisations, demandant le soutien et la compréhension de tous pour les dysfonctionnements qui pourraient survenir à l’Autorité ».
À la fin de chaque partie de la conférence, le Président, le Vice-Président et les intervenants, membres et experts de l’Autorité, ont donné des réponses détaillées à une série de questions posées par le nombreux public.
Il est à noter que l’événement a été retransmis en direct via Internet et le service DIAVLOS du Réseau National d’Infrastructure, de Technologie et de Recherche.