Par Haas Avocats
Le CEPD, (Comité Européen pour la protection des données) lors de sa dernière assemblée plénière a adopté de nouveaux avis visant à guider le contrôle des activités de traitement de données à caractère personnel par les administrations.
Ces avis concernent notamment le recours à des sous-traitants, les dispositions relatives à l’intérêt légitime, ainsi que les futurs textes de la Commission européenne et orientations du CEPD pour l’année 2024-2025.
Le recours à des sous-traitants
L’avis 22/2024 du CEPD explore les situations où les responsables de traitement recourent à des sous-traitants, mettant l’accent sur la nécessité de renforcer les obligations contractuelles. L’objectif : garantir une meilleure conformité en matière de sous-traitance grâce à des clauses plus rigoureuses et adaptées.
Cet avis met l’accent sur trois choses :
- L’identification formelle des sous-traitants par les responsables ;
- la fiabilité des transferts de données à l’étranger ; et enfin
- le renforcement des obligations contractuelles.
L’avis renforce les obligations liées à l’identification formelle des sous-traitants, en exigeant une documentation précise à fournir par ces derniers ainsi que par les responsables de traitement aux autorités compétentes.
Par ailleurs, concernant la fiabilité des transferts de données à l’étranger, le CEPD insiste sur l’importance de mettre en place des garanties solides pour assurer leur conformité[1].
Enfin, l’avis insiste sur le renforcement des obligations contractuelles entre les sous-traitants et les responsables de traitement. Par exemple, il prévoit la mise en place de mécanismes spécifiques pour gérer les demandes d’accès des autorités publiques. Les responsabilités doivent être clairement définies et inclure des dispositions adaptées pour répondre aux demandes des autorités, en particulier en ce qui concerne les transferts internationaux.
Le renforcement des dispositions sur l’intérêt légitime
Les lignes directrices clarifient l’application de l’article 6(1)(f) du RGPD, qui autorise le traitement des données personnelles lorsqu’il est nécessaire pour les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à condition que ces intérêts soient équilibrés avec les droits et libertés fondamentaux des personnes concernées.
Ces lignes directrices s’inscrivent dans le prolongement de la décision du 4 octobre 2024, portant sur la communication à titre onéreux de données personnelles par une fédération sportive, effectuée sans le consentement préalable de ses membres.
Les lignes directrices rappellent que l’intérêt légitime doit remplir trois conditions : il doit être
- Légitime ;
- Nécessaire pour atteindre cet intérêt ; et
- les droits et libertés des personnes concernées ne doivent pas primer sur cet intérêt.
L’équilibrage est une étape clé qui consiste à comparer l’impact du traitement sur les droits et libertés des personnes concernées et les éventuelles atteintes qu’elles pourraient raisonnablement subir.
Le CEPD souligne que l’article 6(1)(f) du RGPD peut être légitimement utilisé dans des cas comme la prévention des fraudes, la sécurité des réseaux, le marketing direct ou le traitement des données des enfants.
Enfin, le CEPD insiste sur l'importance de la documentation et de la justification. Les responsables du traitement doivent prouver qu'ils respectent toutes les exigences. À ce titre, le CEPD a lancé une consultation publique.
L’avis du CEPD sur la proposition de règlement de la Commission Européenne et du Parlement Européen
Dans une démarche visant à rationaliser la coopération entre les autorités compétentes et à renforcer l’application du RGPD, la Commission européenne et le Parlement européen ont proposé l’adoption d’un nouveau règlement.
Ce règlement introduirait des règles procédurales supplémentaires pour améliorer l’efficacité et l’harmonisation de l’application du RGPD au sein de l’Union Européenne. Dans son avis, le CEPD accueille favorablement les modifications suggérées par le Parlement européen, soulignant leur pertinence pour une meilleure coordination et mise en œuvre des dispositions du RGPD.
L’élaboration du programme de travail du CEPD pour 2024-2025
Et enfin, la réalisation d’un programme de travail pour l’année 2024-2025 mettant en œuvre la stratégie du CEPD a été adoptée en avril 2024 : ce programme de travail s’articule autour de quatre piliers principaux.
Le premier met l’accent sur le renforcement de l’harmonisation et de la conformité entre les États membres grâce à des outils pédagogiques destinés au grand public, aux PME et aux personnes vulnérables, notamment les enfants. Il inclut également le développement de critères pour les certifications, les codes de conduite et la coopération en matière de schémas de cybersécurité.
Le second pilier souligne l’importance d’une collaboration renforcée entre les autorités de protection des données au sein de l’UE, afin d’améliorer les mécanismes d’application du RGPD.
Le troisième pilier vise à garantir la protection des données dans un contexte numérique en évolution, tout en prenant en compte les interactions avec d'autres réglementations européennes, telles que la loi sur le marché numérique, l'AI Act et le DSA.
Enfin, le quatrième pilier vise à promouvoir des standards élevés de protection des données à l’international, en favorisant des collaborations avec des autorités non européennes et en émettant des avis sur les mécanismes de transfert de données.
Les récents avis et orientations adoptés par le Comité Européen pour la Protection des Données témoignent de son engagement à renforcer la conformité et l’harmonisation en matière de protection des données personnelles dans un environnement numérique en constante évolution. En abordant des thématiques clés telles que la gestion des sous-traitants, l’application de l’intérêt légitime, et les priorités pour 2024-2025, le CEPD fournit des outils et des recommandations clairs pour les acteurs publics et privés.
Ces initiatives s’inscrivent dans une double démarche : garantir une meilleure protection des droits fondamentaux des personnes concernées tout en offrant un cadre juridique solide et adaptable pour les responsables de traitement.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Article 28 et 44 du RGPD
