Grou­pe de tra­vail “artic­le 29” : docu­ment de tra­vail sur la trans­pa­rence (ver­si­on finale)

Le 13 avril 2018, le grou­pe de tra­vail “Artic­le 29” a publié la ver­si­on défi­ni­ti­ve du docu­ment de tra­vail 260 sur la trans­pa­rence (WP260 rev.01). Une com­pa­rai­son de cet­te ver­si­on avec la ver­si­on de l’au­di­tion publiée en jan­vier 2018 don­ne le tableau sui­vant, qui n’est évi­dem­ment pas exhaus­tif. – Un Docu­ment de com­pa­rai­son (red­li­ne) est dis­po­ni­ble ici : PDF.

• • Le grou­pe de l’ar­tic­le 29 souli­gne que tou­tes les nuan­ces ne peu­vent pas être repré­sen­tées et que l’ob­jec­tif est que les respons­ables “at a high level” com­pren­nent ce que le grou­pe entend par trans­pa­rence – ce qui souli­gne que les prin­cipes ont valeur de lignes direc­tri­ces, mais qu’il exi­ste une mar­ge d’ap­pré­cia­ti­on dans la mise en œuvre de la transparence ;
  • En géné­ral, l’appro­che du grou­pe de l’ar­tic­le 29 n’est pas deve­nue plus prag­ma­tique. Cer­tai­nes indi­ca­ti­ons con­sti­tu­ent même des durcis­se­ments, le plus sou­vent dans les nuances ;
  • si les décla­ra­ti­ons de pro­tec­tion des don­nées doi­vent être adap­tées en rai­son du RGPDSi les modi­fi­ca­ti­ons sont importan­tes, il con­vi­ent de les com­mu­ni­quer acti­ve­ment aux per­son­nes con­cer­nées. Dans le cas con­trai­re, la publi­ca­ti­on suffit ;
  • les enfants doi­vent fai­re l’ob­jet d’u­ne atten­ti­on par­ti­cu­liè­re lors de la for­mu­la­ti­on et de la con­cep­ti­on des décla­ra­ti­ons de pro­tec­tion des don­nées lorsque la décla­ra­ti­on con­cer­ne un trai­te­ment qui vise les enfants ou dont on peut sup­po­ser qu’il con­cer­ne­ra en par­ti­cu­lier les enfants en âge de dis­cer­ne­ment (“lite­ra­te age”) ;
  • le “appro­che “en couch­esLe grou­pe recom­man­de de ne pas se limi­ter aux décla­ra­ti­ons élec­tro­ni­ques, mais éga­le­ment à la pro­cé­du­re tem­po­rel­le : Si des indi­ca­ti­ons sont four­nies juste à temps (par exemp­le sous la for­me d’un tex­te sur­vo­lé par la sou­ris dans un for­mu­lai­re en ligne), l’en­sem­ble de l’ex­pli­ca­ti­on doit en out­re être dis­po­ni­ble sous la for­me d’un docu­ment uni­que ; du point de vue du grou­pe, il s’a­git là aus­si d’u­ne appro­che par couch­es. Des expli­ca­ti­ons sup­p­lé­men­tai­res sont four­nies sur l’appro­che “en couches” ;
  • for­mu­la­ti­ons indé­ter­mi­nées (“may”, “might”, “some”, “pos­si­ble”, etc.) dev­rai­ent être évi­tés. S’ils sont tout de même uti­li­sés, le responsable dev­rait être en mesu­re d’ex­pli­quer pour­quoi de tels ter­mes sont néces­saires et qu’ils ne vio­lent pas le prin­ci­pe d’é­qui­té – tout de même ;
  • chez Modi­fi­ca­ti­ons du trai­te­ment le grou­pe de tra­vail pro­po­se de nou­veaux critères à prend­re en compte ;
  • le grou­pe de tra­vail sur la pro­tec­tion des don­nées don­ne un nou­vel exemp­le de Excep­ti­on pré­vue à l’ar­tic­le 14, para­gra­phe 5, point b) du RGPD (“effort disproportionné”) :
    

    Un grand hôpi­tal métro­po­li­tain exi­ge que tous les pati­ents pour les pro­cé­du­res de jour, les admis­si­ons à long ter­me et les ren­dez-vous rem­plis­sent un for­mu­lai­re d’in­for­ma­ti­on pati­ent qui recher­che les détails de deux pro­chains-of-kin (sujets de don­nées). Comp­te tenu du très grand volu­me de pati­ents pas­sa­ge par l’hô­pi­tal sur une base quo­ti­di­en­ne, cela impli­quer­ait un effort dis­pro­por­ti­onné de la part de l’hô­pi­tal pour four­nir à tou­tes les per­son­nes qui ont été réper­to­riées com­me étant les enfants sui­vants sur les for­mu­lai­res rem­p­lis chaque jour par les pati­ents avec les infor­ma­ti­ons requi­ses en ver­tu de l’ar­tic­le 14

  • si un responsable invo­que cet­te excep­ti­on, il est tenu, en ver­tu de l’ar­tic­le 14, para­gra­phe 5, point b), du RGPD, de prend­re des mesu­res de pro­tec­tion. Le grou­pe de tra­vail con­fir­me désor­mais qu’u­ne tel­le mesu­re de pro­tec­tion peut con­si­ster à mett­re en ligne, par exemp­le, une décla­ra­ti­on de pro­tec­tion des don­nées qui assu­re la trans­pa­rence correspondante.