Le Conseil européen de la protection des données (CEPD), groupe composé des autorités de contrôle de l’EEE et du contrôleur européen de la protection des données, s’est réuni pour sa dix-huitième session plénière les 18 et 19 février et a publié des documents le 24 février.
Il a traité les questions suivantes :
– Évaluation et révision du RGPD comme le prévoit l’article 97 de celui-ci.
– Adoption d’un projet de lignes directrices pour apporter des éclaircissements concernant l’application de l’article 46.2 (a) et 46.3 (b) du RGPD relatif aux transferts de données à caractère personnel des autorités ou organismes publics de l’EEE vers des organismes publics de pays tiers ou des organisations internationales.
– Publication d’une déclaration sur les implications sur la vie privée des fusions d’entreprises suite à l’annonce par Google LLC de sa décision d’acquérir Fitbit, un fournisseur d’application de santé.
1.Evaluation du RGPD
Le CEPD est d’avis que l’application du RGPD, au cours des 20 premiers mois, a été couronnée de succès et que la coopération entre les autorités de contrôle a été bonne et permettra d’aboutir à une culture commune de la protection des données.
Toutefois, il souligne que les autorités de contrôle sont confrontées à certains défis dont notamment:
- le manque de ressources pour toutes les autorités de contrôle reste préoccupant.
- patchwork de procédures nationales qui peuvent entraver la bonne coopération entre les autorités. À cet égard, bien qu’elle s’efforce de trouver des solutions, elle invite également la Commission européenne à vérifier si les procédures nationales ont un impact sur l’efficacité des procédures de coopération.
Dans son évaluation, elle soulève également des questions relatives aux outils de transferts internationaux, à l’impact du RGPD sur les PME, au développement de nouvelles technologies et conclut qu’il serait prématuré de réviser le GDPR à ce stade.
2. Projet de lignes directrices sur les transferts internationaux des autorités publiques
Les lignes directrices recommandent les garanties à mettre en œuvre dans des instruments juridiquement contraignants (article 46.2 (a)) ou dans des arrangements administratifs (article 46.3 (b)) et seront soumises à la consultation publique.
3. Déclaration sur les implications des fusions pour la vie privée (Google / Fitbit)
Suite à l’annonce de l’intention de Google d’acquérir Fitbit, une société fournissant une application de santé, le CEPD s’est inquiété des risques pour la vie privée des utilisateurs qu’une telle fusion pourrait entraîner. En effet, au moment où ils ont téléchargé et commencé à utiliser l’application fournie par Fitbit, les utilisateurs ne pouvaient pas savoir ou prévoir que leurs données de santé (c’est-à-dire les données sensibles), pourraient finir par être traitées par Google qui traite déjà une quantité massive de données personnelles de millions voire de milliards d’utilisateurs dans le monde.
Compte tenu des risques en jeu, le CEPD a rappelé à Google et à Fitbit leurs obligations au titre du RGPD et leur a vivement recommandé de procéder, de manière transparente, à une évaluation complète des exigences en matière de protection des données et des conséquences de la fusion sur la vie privée et d’atténuer les risques éventuels pour les droits à la vie privée et à la protection des données avant de notifier la fusion à la Commission européenne.
