Au cours de cette 37e session plénière, le Comité Européen à la Protection des Données (CEPD) a adopté des lignes directrices sur les concepts de responsable du traitement et de sous-traitant et des lignes directrices sur le ciblage des utilisateurs de médias sociaux.
Le CEPD a également créé :
- un groupe de travail sur les 101 plaintes déposées suite à l’arrêt Schrems II de la CJUE ; et
- un groupe de travail consacré aux mesures supplémentaires que les exportateurs et les importateurs de données peuvent être tenus de prendre pour assurer une protection adéquate lors du transfert de données vers un pays tiers.
Lignes directrices sur les notions de responsable du traitement et de sous-traitant
À la suite d’un événement réunissant les différents acteurs qui a eu lieu en 2019, le CEPD a compris la nécessité d’une orientation plus pratique et a permis au Comité de mieux comprendre les besoins et les préoccupations dans ce domaine.
Les nouvelles lignes directrices sont composées de deux parties principales : l’une expliquant les différents concepts, l’autre comprenant des orientations détaillées sur les principales conséquences de ces concepts pour les responsable de traitements indépendants, conjoints et les sous-traitants.
Les lignes directrices font l’objet d’une consultation publique et à cet égard, l’article « responsable de traitement ou sous-traitant ? » de la section le RGPD expliqué sera mis à jour.
Lignes directrices sur le ciblage des utilisateurs de médias sociaux
L’objectif principal des lignes directrices est de clarifier les rôles et les responsabilités du fournisseur de médias sociaux et des autres parties prenantes.
Elles fournissent des conseils pratiques et divers exemples concrets de différentes situations.
À cette fin, les lignes directrices, entre autres :
- identifient les risques potentiels pour les libertés des personnes ciblées, les principaux acteurs et leurs rôles, l’application des exigences clés en matière de protection des données ;
- fournit des détails sur les différents mécanismes de ciblage, le traitement de catégories spéciales de données dans ce contexte et l’obligation pour les responsables conjoints de traitement de mettre en place un dispositif approprié
Ces lignes directrices font également l’objet d’une consultation publique.
Création de deux groupes de travail chargés d’examiner les 101 plaintes déposées à la suite de l’arrêt Schrems II et de fournir des lignes directrices sur les garanties supplémentaires à mettre en œuvre lors du transfert de données vers les États-Unis
Selon le CEPD, 101 plaintes identiques ont été déposées auprès des autorités de protection des données de l’EEE contre plusieurs responsables de traitement concernant leur utilisation des services Google / Facebook qui impliquent le transfert de données à caractère personnel.
Les plaignants, représentés par l’ONG NOYB, affirment que Google/Facebook transfère des données à caractère personnel aux États-Unis en se fondant sur le bouclier de protection de la vie privée UE-USA ou sur les clauses contractuelles types (qui ne fournissent plus de garanties suffisantes pour le transfert de données aux États-Unis).
Le groupe de travail analysera la question et veillera à une étroite coopération entre les membres du conseil d’administration.
Dans le prolongement de la FAQ adoptée le 23 juillet, un autre groupe de travail préparera des recommandations visant à clarifier la nécessité pour les responsables du traitement et les sous-traitants d’identifier et de mettre en œuvre des mesures supplémentaires appropriées lors du transfert de données vers certains pays tiers.
