Lors de sa 32e session plénière, le Comité Européen à la Protection des Données (CEPD) a adopté les documents suivants :
- une déclaration sur l’interopérabilité des applications de suivi des contacts ;
- une déclaration sur les mesures prises dans le cadre de l’ouverture des frontières et les droits en matière de protection des données ;
- deux lettres de réponses au député européen Körner – sur l’interdiction de cryptage adoptée dans les pays tiers et sur l’article 25 GDPR – et une lettre au CEAOB sur les dispositions du PCAOB.
1. La déclaration sur l’interopérabilité des applications de suivi des contacts mises en place dans le cadre de la stratégie de lutte contre la pandémie COVID-19
Sur la base des lignes directrices 04/2020 du CEPD sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de la pandémie COVID-19 (voir ici), la déclaration fournit une analyse plus détaillée des questions clés du RGPD (par exemple la transparence, la base juridique, le contrôle, les droits des personnes concernées, la conservation et la minimisation des données, la sécurité des informations et l’exactitude des données) dans le contexte de la création d’un réseau interopérable d’applications.
Le CEPD déclare que :
- une action volontaire de l’utilisateur devrait être le déclencheur du partage des données sur les personnes qui ont été diagnostiquées ou testées positives au COVID-19 avec ces applications interopérables et l’utilisation de ces applications ne devrait pas être une raison pour étendre la collecte de données personnelles au-delà de ce qui est nécessaire ;
- les applications de suivi des contacts doivent faire partie d’une stratégie globale de santé publique pour lutter contre la pandémie ;
- les responsables du traitement doivent veiller à ce que les mesures mises en œuvre pour assurer l’interopérabilité des applications soient efficaces et proportionnées.
2. La déclaration sur le traitement des données à caractère personnel mis en oeuvre dans le cadre de la réouverture des frontières Schengen à la suite de l’épidémie de COVID-19
Dans le cadre de la réouverture des frontières, les États membres ont envisagé ou mis en œuvre des mesures telles que le test de depistage du COVID-19, l’exigence de certificats délivrés par des professionnels de la santé et l’utilisation d’une application volontaire de recherche des contacts.
A cet égard, le CEPD demande une approche européenne commune pour décider quel traitement de données personnelles est nécessaire dans ce contexte et conseille aux Etats membres d’accorder une attention particulière à la conformité du traitement des données avec les principes de protection des données de la GDPR.
Le Comité estime que la décision d’autoriser l’entrée dans un pays ne doit pas seulement être basée sur les technologies de prise de décision automatisée et ne doit pas s’appliquer aux enfants (bien que le GDPR ne prévoie pas une telle interdiction).
En outre, il souligne que (i) des garanties appropriées, y compris une notice d’information spécifique, le droit d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication de la décision prise après cette évaluation et de contester la décision, devraient être mises en œuvre ; (ii) la consultation préalable des autorités nationales de contrôle compétentes est nécessaire.
3. La réponse à la première lettre du député européen Moritz Körner sur la pertinence des interdictions de cryptage dans les pays tiers pour évaluer le niveau de protection des données lorsque des données personnelles sont transférées vers des pays où ces interdictions existent
Selon le CEPD, toute interdiction de cryptage ou dispositions affaiblissant le cryptage porterait gravement atteinte au respect des obligations de sécurité du RGPD applicables aux responsables du traitement et aux sous-traitants.
Elle rappelle que les mesures de sécurité sont l’un des éléments que la Commission Européenne doit prendre en compte lorsqu’elle évalue le caractère adéquat du niveau de protection dans un pays tiers.
On peut donc déduire de cette déclaration qu’il est très peu probable qu’un pays mettant en œuvre des interdictions de cryptage soit considéré comme assurant un niveau adéquat de protection des données.
4. La réponse à la deuxième lettre du député européen Körner sur le thème des cache sur les web-caméra d’ordinateurs portables
L’eurodéputé Körner a déclaré dans cette lettre que les caches posés sur les webcam d’ordinateurs portables pourraient aider à se conformer au RGPD et a suggéré que les nouveaux ordinateurs portables en soient équipés.
Le CEPD a précisé, dans sa réponse, que les fabricants d’ordinateurs portables ne sont pas responsables du traitement effectué avec ces produits, sauf s’ils agissent également en tant que contrôleurs ou transformateurs.
5. La lettre au Comité des organes européens de contrôle des comptes (CEAOB).
Le CEPD a reçu une proposition du CEAOB de coopérer et de recevoir un retour d’information sur les négociations des projets de contrats administratifs pour le transfert de données au Public Company Accounting Oversight Board (PCAOB) américain.
Le Comité déclare qu’il est disposé à procéder à un échange avec le CEAOB afin de clarifier toute question éventuelle sur les exigences en matière de protection des données liées à ces arrangements, à la lumière des lignes directrices 2/2020 de l’EDPB sur l’art. 46 (2) (a) et 46 (3) (b) GDPR pour les transferts de données à caractère personnel entre les autorités publiques de l’EEE et les autorités publiques hors EEE.
