Le Comité européen à la protection des données (CEPD), regroupant toutes les autorités de protection des données de l’UE, s’est réuni pour sa 40e session plénière le 21 octobre. Au cours de cette réunion, le CEPD :
- a adopté la version finale des lignes directrices sur la protection des données dès la conception et par défaut, suite à la consultation publique ;
- a décidé de mettre en place un Cadre d’action coordonnée ;
- a adopté une lettre concernant les implications de l’article 17 de la directive sur le droit d’auteur en matière de protection des données.
1. Adoption de la version finale des lignes directrices sur la protection des données dès la conception et par défaut (PDCP)
Le CEPD a adopté la version finale des lignes directrices sur la protection des données dès la conception et par défaut suite à une consultation publique.
La PDCP est prévue à l’article 25 du RGPD. Il s’agit de la mise en œuvre effective des principes de protection des données et des droits et libertés des personnes concernées par conception et par défaut au moyen de mesures techniques et organisationnelles. Ces principes impliquent que les responsables du traitement doivent être en mesure de démontrer que les mesures mises en œuvre sont efficaces.
La nouvelle version des lignes directrices contient :
- des conseils et des exemples pratiques pour mieux comprendre comment mettre en œuvre les principes de protection des données. Elles fournissent également des recommandations sur la manière dont les responsables du traitement, les sous-traitants et les producteurs peuvent coopérer pour atteindre les exigences de la PDCP ; et
- une mise à jour de la formulation et un approfondissement du raisonnement juridique.
À cet égard, je mettrai à jour l’article consacré aux principes de respect de la vie privée dès la conception et par défaut dans la section « Aperçu du GDPR ».
2. Mise en place du cadre d’action coordonné
L’objectif du cadre d’action coordonnée est de faciliter les actions conjointes de manière souple et coordonnée, allant de la sensibilisation et de la collecte d’informations communes aux balayages de contrôle et aux enquêtes conjointes. L’objectif des actions coordonnées annuelles récurrentes est de promouvoir le respect de la législation, de donner aux personnes concernées les moyens d’exercer leurs droits et de les sensibiliser.
3. Lettre sur les implications de l’art. 17 de la directive sur le droit d’auteur
L’article 17 de la directive sur le droit d’auteur réglemente l’utilisation de contenus protégés par les fournisseurs de services de partage de contenus en ligne.
En vertu de cet article, les fournisseurs de services de partage de contenu peuvent être tenus pour responsables de la mise en ligne de contenu protégé par le droit d’auteur par leurs utilisateurs sans l’autorisation du titulaire du droit d’auteur.
Par conséquent, la plate-forme de partage de contenu peut mettre en place des filtres de téléchargement.
À cet égard, le CEPD a adopté une lettre en réponse à l’Europäische Akademie für Informationsfreiheit und Datenschutz concernant les implications de ces dispositions en matière de protection des données.
Pour le Comité, tout traitement de données à caractère personnel effectué aux fins de filtres de téléchargement doit être proportionné et nécessaire et, par conséquent, aucune donnée à caractère personnel ne doit être traitée dans la mesure du possible.
Toutefois, lorsque le traitement de données à caractère personnel est nécessaire (par exemple, le mécanisme de recours), seules les données à caractère personnel nécessaires à cette fin spécifique devraient être traitées.
