Home

Entreprises qui nous ont choisis

Privacy Officer et Privacy Consultant
Schéma CDP selon ISO/IEC 17024:2012
European Privacy Auditor
Système de certification ISDP©10003 selon ISO/IEC 17065:2012
Auditor
Selon la norme UNI 11697:2017
Lead Auditor ISO/IEC 27001:2022
Selon la norme ISO/IEC 17024:2012
Délégué à la Protection des données
Selon la norme ISO/IEC 17024:2012
Anti-Bribery Lead Auditor Expert
Selon la norme ISO/IEC 17024:2012
ICT Security Manager
Selon la norme UNI 11506:2017
IT Service Management (ITSM)
Selon la Fondation ITIL
Ethical Hacker (CEH)
Selon EC-Council
Network Defender (CND)
Selon EC-Council
Computer Hacking Forensics Investigator (CHFI)
Selon EC-Council
Penetration Testing Professional (CPENT)
Selon EC-Council

Qualifications professionnelles

Restez au courant de l'actualité mondiale!

Sélectionnez les thèmes qui vous intéressent:

News

Home / News
/
COMITÉ EUROPÉEN DE PROTECTION DES DONNÉES: CEPD adopte une décision contraignante urgente : Irish SA de ne pas prendre de mesures finales, mais de procéder à une enquête légale 15 juillet 2021 EDPB

COMITÉ EUROPÉEN DE PROTECTION DES DONNÉES: CEPD adopte une décision contraignante urgente : Irish SA de ne pas prendre de mesures finales, mais de procéder à une enquête légale 15 juillet 2021 EDPB

Le CEPD a adopté sa première décision urgente contraignante conformément à l’art. 66(2) RGPD suite à une demande de l’autorité de contrôle de Hambourg (DE-HH SA), après que la SA ait adopté des mesures provisoires à l’égard de Facebook Ireland Ltd (Facebook IE) sur la base de l’art. 66 (1) RGPD. La DE-HH SA a ordonné une interdiction de traitement des données utilisateur WhatsApp par Facebook IE pour leurs propres fins suite à une modification des Conditions d’utilisation et de la Politique de confidentialité applicable aux utilisateurs européens de WhatsApp Ireland Ltd.

Le CEPD a décidé que les conditions permettant de démontrer l’existence d’une infraction et d’une urgence ne sont pas remplies. Par conséquent, le CEPD a décidé qu’aucune mesure finale ne devait être adoptée par l’IE SA contre Facebook IE en l’espèce.

Sur la base des éléments de preuve fournis, le CEPD a conclu qu’il est très probable que Facebook IE traite déjà les données d’utilisateur WhatsApp IE en tant que contrôleur (conjoint) à des fins communes de sécurité et d’intégrité de WhatsApp IE et des autres sociétés Facebook, et dans le but commun d’améliorer les produits des sociétés Facebook. Cependant, face aux diverses contradictions, ambiguïtés et incertitudes relevées dans les informations destinées aux utilisateurs de WhatsApp, certains engagements écrits adoptés par Facebook IE et les soumissions écrites de WhatsApp IE, le CEPD a conclu qu’elle n’est pas en mesure de déterminer avec certitude quelles opérations de transformation sont effectivement effectuées et dans quelle mesure.

En outre, il n’y avait pas assez d’informations pour établir avec certitude si Facebook IE a déjà commencé à traiter les données utilisateur WhatsApp IE comme un (joint) contrôleur à ses propres fins de communications marketing et de marketing direct, et la coopération avec les autres sociétés Facebook. Il ne pouvait pas non plus être établi si Facebook IE a déjà commencé ou va bientôt commencer à traiter les données utilisateur WhatsApp IE comme un (joint) contrôleur pour ses propres fins en relation avec WhatsApp Business API.

Sur l’existence de l’urgence, le CEPD a considéré que l’art. 61(8) Le RGPD n’était pas applicable car la DE-HH SA n’a pas démontré que l’IE SA n’avait pas fourni d’informations dans le cadre d’une demande officielle d’assistance mutuelle au titre de l’article 61 du RGPD. En outre, le CEPD a décidé que l’adoption des Conditions actualisées, qui contiennent des éléments problématiques similaires à la version précédente, ne peut, à elle seule, justifier l’urgence pour le CEPD d’ordonner à la LSA d’adopter des mesures finales au titre de l’article 66(2) du RGPD. Le CEPD a donc estimé qu’il n’y avait pas d’urgence pour l’ASL d’adopter des mesures finales en l’espèce.

Considérant la probabilité élevée d’infractions, notamment aux fins de la sûreté, de la sécurité et de l’intégrité de WhatsApp IE et des autres sociétés Facebook, ainsi qu’aux fins de l’amélioration des produits des sociétés Facebook, le CEPD a estimé que cette question nécessitait des enquêtes plus poussées. En particulier pour vérifier si : dans la pratique, les entreprises Facebook effectuent des opérations de traitement qui impliquent la combinaison ou la comparaison des données utilisateur de WhatsApp IE avec d’autres ensembles de données traitées par d’autres entreprises Facebook dans le contexte d’autres applications ou services offerts par les entreprises Facebook, facilitée notamment par l’utilisation d’identificateurs uniques. Pour cette raison, le CEPD demande à l’IE SA de procéder, en priorité, à une enquête statutaire pour déterminer si de telles activités de traitement ont lieu ou non et, le cas échéant, si elles ont une base juridique appropriée en vertu de l’alinéa 5(1)a) et de l’article 6(1). RGPD.

En outre, compte tenu du manque d’informations sur la façon dont les données sont traitées à des fins de marketing, la coopération avec les autres sociétés Facebook et en ce qui concerne WhatsApp Business API, la DGPSS demande à la SA d’IE d’examiner plus à fond le rôle de Facebook IE, c.-à-d. si Facebook IE agit comme un processeur ou comme un (contrôleur conjoint), en ce qui concerne ces opérations de traitement.

Prochaines étapes:

Cette décision contraignante urgente a été adressée à la SA IE, à la SA DE-HH et aux autres SA concernées, et Facebook IE et WhatsApp IE ont été informés de cette décision contraignante urgente.

La décision contraignante urgente sera rendue publique sur le site Web de le CEPD après l’évaluation de la nécessité de supprimer certaines parties de la décision afin d’éviter la divulgation d’informations couvertes par le secret professionnel.

La présente décision est sans préjudice des évaluations que le CEPD peut être appelée à effectuer dans d’autres cas, y compris avec les mêmes parties.

Qu’est-ce que l’Art. 66 RGPD?

Dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle estime qu’il est urgent d’agir pour protéger les droits et libertés des personnes concernées sur son territoire, elle peut adopter des mesures provisoires ayant un effet juridique sur son propre territoire pour une durée maximale de trois mois.

Ces mesures sont adoptées par dérogation au mécanisme de cohérence du RGPD (art. 63 RGPD) ou au mécanisme de guichet unique (art. 60 RGPD). Dans ce cas, l’art. 66 du RGPD permet aux autorités de contrôle d’adopter immédiatement des mesures provisoires.

L’autorité de contrôle qui émet ces mesures provisoires doit communiquer ces mesures et les raisons de leur adoption sans retard injustifié aux autres autorités de contrôle concernées, au Conseil européen de la protection des données et à la Commission européenne.

Si l’autorité de contrôle qui a pris ces mesures provisoires estime que les mesures finales doivent être adoptées d’urgence, elle peut demander un avis d’urgence ou une décision d’urgence contraignante à le CEPD, fournir les raisons de l’urgence d’ordonner l’adoption de mesures finales par dérogation aux procédures standard de coopération et de cohérence.

SOURCE: EUROPEAN DATA PROTECTION BOARD – EDPB

Proposé pour vous

Recherche avancée