Après sa réunion des 12 et 13 décembre, le G29 (groupe d’autorités européennes chargées de la protection des données) a publié ses premières recommandations pour interpréter les dispositions du nouveau règlement (GDPR) sur les points suivants:
– Droit à la portabilité des données
En résumé:
Le droit à la portabilité des données est le droit pour un individu d’obtenir une copie de données personnelles fournies au responsable du traitement dans un format qui lui permet de les utiliser ou de les transférer soit à un autre responsable de traitement pour que ce dernier puisse fournir son service ou à la personne concernée pour sa propre utilisation. Le champ d’application du droit à la portabilité des données est différent du droit d’accès qui a une finalité différente et concerne toutes les données personnelles détenues par le responsable du traitement qu’elles aient été ou non fournies par la personne concernée.
Un délégué à la protection des données doit être nommé lorsque:
– le contrôleur est une autorité ou un organisme public; ou
– les activités essentielles du contrôleur ou du sous-traitant consistent en des opérations de traitement à grande échelle qui nécessitent un suivi régulier et systématique des personnes concernées ou concerne de données sensibles ou relatives aux condamnations et aux infractions pénales.
Compte tenu de la position du G29, il semble que la plupart des entreprises disposant d’une base de données avec beaucoup d’utilisateurs et utilisant le profilage à des fins de marketing direct seront concernées et devraient nommer un responsable de la protection des données.
Les recommandations relatives à l’autorité de contrôle chef de file donnent plus de détails sur la façon d’appliquer les règles du guichet unique. En effet, il est nécessaire de se référer à une seule autorité de protection des données lorsqu’un traitement transfrontalier est mis en oeuvre (traitement ayant effet dans plus d’un État Membre). Ces dispositions s’appliquent aux responsables de traitement et aux sous-traitant situés dans l’UE. Tout responsable situé en dehors de l’UE ne devrait pas bénéficier de ces dispositions et devrait se référer à toute autorité de protection des données concernée.
Plus de détails sur ces lignes directrices seront fournis dans la section GDPR très bientôt. En attendant, vous pouvez lire les recommandations du G29 en anglais en cliquant sur les liens en haut de l’article.