Lors de sa 34e session plénière qui s’est tenue le 20 juillet 2020, le Conseil européen de la protection des données (CEPD) a adopté les documents suivants :
- une déclaration relative à l’arrêt de la CJUE Schrems 2, dans laquelle elle déclare travailler sur des recommandations concernant l’utilisation des instruments de transfert de données ;
- des lignes directrices sur l’interaction entre la deuxième directive sur les services de paiement (PSD2) et le GDPR ;
- une lettre de réponse au député européen Ďuriš Nicholsonová sur la recherche des contacts, l’interopérabilité des applications et les DPIA.
Le CEPED travaille sur des recommandations suite à l’arrêt de la Cour de justice de l’Union européenne dans l’affaire C-311/18 (Schrems 2)
Comme indiqué dans notre analyse de l’arrêt (ici), l’arrêt Schrems 2 invalide la décision 2016/1250 sur le caractère adéquat du Privacy Shield (UE-USA) et considère valide la décision 2010/87 de la Commission relative aux clauses contractuelles types (CCT) utilisées pour les transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers.
Étant donné l’incertitude juridique résultant de cet arrêt en ce qui concerne les transferts de données à caractère personnel vers les États-Unis (US), le CEPD déclare qu’il évaluera l’arrêt plus en détail et fournira des précisions supplémentaires aux parties prenantes ainsi que des orientations sur l’utilisation des instruments de transfert de données à caractère personnel vers des pays tiers conformément à l’arrêt.
En plus des orientations sur l’utilisation des instruments de transfert de données, le CPED examinera également en quoi pourraient consister les mesures supplémentaires à celles prévues par les CTT. En effet, la Cour a statué que l’exportateur de données pourrait devoir mettre en œuvre des mesures supplémentaires lorsqu’il envisage d’utiliser les CTT pour transférer des données vers certains pays tiers afin de garantir un niveau essentiellement équivalent à celui prévu dans l’UE.
Le CEPD suit la position de la CJUE en affirmant en outre que l’UE et les États-Unis devraient mettre en place un cadre complet et efficace garantissant un niveau de protection des données à caractère personnel aux États-Unis essentiellement équivalent à celui garanti dans l’UE. Il informe être prêt à collaborer et à aider la Commission Européenne sur cette question en lui fournissant des lignes directrices et des conseils.
Adoption de lignes directrices concernant la deuxième directive sur les services de paiement (DSP2)
La DSP2 modernise le cadre juridique du marché des services de paiement, notamment en introduisant un cadre juridique pour les nouveaux services d’initiation de paiement (PISP) et les services d’information sur les comptes (AISP).
Les utilisateurs pouvant accorder à ces nouveaux prestataires de services de paiement l’accès à leurs comptes de paiement, le CEPD a élaboré des lignes directrices sur l’application de RGPD à ces nouveaux services de paiement.
Dans ces lignes directrices, il rappelle notamment que :
- dans ce contexte, des catégories particulières de données peuvent être traitées avec le consentement explicite de la personne concernée ou lorsque le traitement est nécessaire pour des raisons d’intérêt public important ;
- les dispositions de la directive sur les services de paiement2 (c’est-à-dire l’article 66, paragraphe 3, point g), et l’article 67, paragraphe 2, point f)) n’autorisent aucun traitement ultérieur, à moins qu’il ne soit prévu par la législation de l’UE ou des États membres ou que les personnes concernées n’aient donné leur consentement supplémentaire.
Le document traite également des conditions dans lesquelles les prestataires de services de paiement de services de compte (ASPSP) accordent aux PISP et aux AISP l’accès aux informations sur les comptes de paiement.
Lettre en réponse aux questions des députés européens sur la protection des données dans le contexte de la pandémie de Covid-19
La lettre aborde des questions sur l’harmonisation et l’interopérabilité des demandes de recherche de contacts, l’exigence d’un DPIA pour ce traitement et la durée pendant laquelle le traitement peut être mis en place.
