Les 12 et 13 novembre, le Comité européen de la protection des données (CEPD) s’est réuni pour sa quinzième session plénière. Au cours de la séance plénière, les sujets suivants ont été abordés :
- Troisième examen annuel du Privacy Shield
- Lignes directrices sur le champ d’application territorial
- Lignes directrices sur la protection des données par conception et par défaut
- Lettre de réponse à LIBE sur les systèmes d’information de l’UE
- Protocole additionnel à la Convention de Budapest sur la cybercriminalité
Ci-dessous un résumé du communiqué de presse publié par le CEPD sur les trois premiers points listés ci-dessus.
Lignes directrices sur le champ d’application territorial
Le CEPD a adopté une version finale des lignes directrices sur le champ d’application territorial.
Les lignes directrices visent à fournir une interprétation commune lorsqu’il s’agit de déterminer si un traitement particulier effectué par un responsable du traitement ou un sous-traitant relève du champ d’application territorial du RGPD, conformément à l’article 3 du RGPD. Elles fournissent également des précisions supplémentaires sur la désignation et le rôle du représentant devant être désigné en vertu de l’article 27 du RGPD.
Lignes directrices sur la protection des données par conception et par défaut (projet)
Le CEPD a adopté des lignes directrices sur la protection des données à la conception et par défaut. Ces lignes directrices se concentrent sur l’obligation de protection des données par conception et par défaut telle qu’énoncée à l’Art. 25 RGPD.
Ces lignes directrices sont axées sur la mise en œuvre effective des principes de protection des données et des droits et libertés des personnes concernées, tant à la conception que par défaut, et sur la capacité des responsables du traitement à démontrer que toutes les mesures mises en œuvre à cet égard, sont efficaces.
Ces lignes directrices seront soumises à la consultation publique.
Troisième examen annuel du Privacy Shield
Le CEPD a adopté son rapport sur le troisième examen conjoint annuel du Privacy Shield entre l’UE et les États-Unis.
Il salue les efforts déployés par les autorités américaines pour mettre en œuvre le Privacy Shield. Toutefois, le Conseil souligne que des verifications de conformité de la substance des principes du Privacy Shield demeurent préoccupantes.
Les domaines nécessitant une attention particulière sont notamment l’application des exigences du Privacy Shield aux transferts ultérieurs, aux données RH et aux sous-traitants, ainsi qu’au processus de recertification. Le CEPD souligne que la mission des membres de l’équipe de surveillance serait facilitée s’ils avaient un accès plus large aux informations non publiques, concernant les aspects commerciaux et les enquêtes en cours.
En ce qui concerne la collecte de données par les autorités publiques, le Comité réaffirme que ses experts titulaires d’une habilitation de sécurité restent prêts à examiner d’autres documents et à examiner d’autres éléments classifiés.
Bien que le CEPD se félicite des nouveaux éléments fournis au cours de l’examen de cette année, il ne peut toujours pas conclure que le Médiateur est investi de pouvoirs suffisants pour accéder à l’information et remédier aux points de non-confomités.
Pour un accès complet au communiqué de presse du CEPD, cliquez ici
