CCPD : rap­port d’expé­ri­ence sur le RGPD ; pro­po­si­ti­on d’al­lè­ge­ments et de durcissements

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

, , , ,

Thè­mes

, , , , , ,
Ven­te à emporter (AI)
  • La CCPD recom­man­de des allè­ge­ments pour les infor­ma­ti­ons quo­ti­di­en­nes (infor­ma­ti­ons éche­lon­nées, “uni­quement sur deman­de” pour les trai­te­ments de don­nées attendus).
  • des obli­ga­ti­ons ren­for­cées pour les fab­ri­cants (pri­va­cy by design) et un cad­re juri­di­que plus strict pour le pro­fi­la­ge, ain­si que des cla­ri­fi­ca­ti­ons sur la limi­ta­ti­on des fina­li­tés et le droit d’accès.

La Con­fé­rence des auto­ri­tés indé­pen­dan­tes de con­trô­le de la pro­tec­tion des don­nées de l’É­tat fédé­ral et des Län­der (Daten­schutz­kon­fe­renz, DSK) a orga­ni­sé le 6 novembre 2019 un Rap­port sur l’expé­ri­ence acqui­se dans l’ap­pli­ca­ti­on de la RGPD a été adop­tée. Le site DSK a fait les expé­ri­en­ces et recom­man­da­ti­ons sui­van­tes, qui ne sont pas exhaustives :

  • Le site RGPD a fait ses preu­ves sur le fond. Tou­te­fois, des que­sti­ons se posent dans cer­ta­ins domain­es en matiè­re de Apti­tu­de à la vie quo­ti­di­en­ne (p. ex. pour l’ob­li­ga­ti­on d’in­for­ma­ti­on). Dans ce domaine, les auto­ri­tés sont favor­ables à quel­ques allé­ge­ments dans le sec­teur hors ligne, sur­tout lors de cont­acts oraux ou télé­pho­ni­ques ou lors de la récep­ti­on d’u­ne com­man­de ou d’u­ne car­te de visi­te ou de l’en­re­gi­stre­ment d’un ren­dez-vous. Dans ce cas, une infor­ma­ti­on éche­lon­née doit suf­fi­re. Les auto­ri­tés pro­po­sent d’a­jou­ter un nou­vel ali­néa à l’art. 13 RGPD avec un libel­lé qui rap­pel­le for­te­ment la “recon­naissa­bi­li­té” au sens de la loi sui­s­se sur la pro­tec­tion des données :

    Les infor­ma­ti­ons visées aux para­gra­phes 1 et 2 sont uni­quement sur deman­de à la per­son­ne con­cer­née, dans la mesu­re où le responsable procè­de à des trai­te­ments de don­nées que la per­son­ne con­cer­née n’est pas en mesu­re d’ef­fec­tuer en rai­son des cir­con­stances con­crè­tes. attend ou doit attendre et

    1. la divul­ga­ti­on de don­nées à d’aut­res orga­nis­mes ain­si que le trans­fert vers des pays tiers sont exclus,
    2. qu’au­cu­ne don­née rele­vant de l’art. 9 RGPD tombent,
    3. les don­nées ne sont pas trai­tées à des fins de publi­ci­té direc­te et 4. il n’est pro­cé­dé à aucun pro­fi­la­ge ni à aucu­ne pri­se de décis­i­on auto­ma­ti­sée.
      La per­son­ne con­cer­née doit être infor­mée de cet­te possibilité.
  • Le prin­ci­pe de Pro­tec­tion des don­nées dès la con­cep­ti­on n’est guè­re appli­quée dans la pra­tique : “Les RGPD dev­rait donc éga­le­ment obli­ger les fab­ri­cants de logi­ciels à respec­ter ce prin­ci­pe de con­cep­ti­on favorable à la pro­tec­tion des don­nées. Dans la pra­tique, cela s’ap­pli­que en par­ti­cu­lier aux fab­ri­cants de logi­ciels com­ple­xes tels que les systè­mes d’ex­plo­ita­ti­on, les systè­mes de gesti­on de base de don­nées, les pro­gi­ciels Office stan­dard ou les appli­ca­ti­ons spé­cia­li­sées très spé­ci­fi­ques”. Le site DSK pro­po­se donc d’a­jou­ter une défi­ni­ti­on léga­le du “pro­duc­teur” et de la pla­cer à l’art. 24 RGPD de les sou­mett­re expres­sé­ment à des obli­ga­ti­ons cor­re­spond­an­tes, par un nou­vel art. 24 al. 4 :

    4) Le Le fab­ri­cant déve­lo­p­pe et con­çoit ses pro­duits, ser­vices et appli­ca­ti­ons en tenant comp­te du droit à la pro­tec­tion des don­nées et de l’é­tat de la tech­ni­que, de maniè­re à ce que il veil­le à ce que les respons­ables du trai­te­ment et les sous-trai­tants soi­ent en mesu­re de s’ac­quit­ter de leurs obli­ga­ti­ons en matiè­re de pro­tec­tion des don­nées sans devoir appor­ter de modi­fi­ca­ti­ons dérai­sonn­ables à ces pro­duits, ser­vices et appli­ca­ti­ons. Il sou­ti­ent les aider à éta­b­lir le regist­re des acti­vi­tés de trai­te­ment (artic­le 30), à noti­fier une vio­la­ti­on des don­nées à carac­tère per­son­nel (artic­le 33) et à noti­fier les per­son­nes con­cer­nées (artic­le 34), en leur four­nis­sant, sur deman­de, tou­tes les infor­ma­ti­ons néces­saires à cet effet.
    En con­sé­quence, le fab­ri­cant doit éga­le­ment pou­voir être le desti­na­tai­re de mesu­res d’exé­cu­ti­on et de pré­ten­ti­ons en responsa­bi­li­té (modi­fi­ca­ti­ons des artic­les 79 et 82).

  • La Con­fé­rence sur la pro­tec­tion des don­nées deman­de un ren­force­ment du cad­re juri­di­que de la Pro­fi­la­gepar­ce que le “pro­ce­s­sus de pro­fi­la­ge en tant que tel par la plu­part des nor­mes de la RGPDL’ar­tic­le 6, para­gra­phe 1, de la direc­ti­ve sur la pro­tec­tion des don­nées ne cou­vre pas la pro­tec­tion des don­nées à carac­tère per­son­nel, com­me la pri­se de décis­i­on auto­ma­ti­sée, de sor­te qu’u­ne éva­lua­ti­on n’est géné­ra­le­ment pos­si­ble que sur la base des con­di­ti­ons géné­ra­les de l’ar­tic­le 6, para­gra­phe 1, de la direc­ti­ve sur la pro­tec­tion des don­nées. RGPD se fait”.
  • En ce qui con­cer­ne le droit d’ac­cès, il serait sou­hai­ta­ble de pré­cis­er si et dans quel­le mesu­re un “Droit à la copie” exi­ste.
  • Lors de la Noti­fi­ca­ti­on des vio­la­ti­ons de la pro­tec­tion des don­nées une obli­ga­ti­on de noti­fi­ca­ti­on cor­re­spond­an­te aux auto­ri­tés dev­rait éga­le­ment pou­voir s’ap­pli­quer lorsqu’u­ne vio­la­ti­on de la sécu­ri­té des don­nées est con­sta­tée, mais seu­le­ment pré­su­mée, et qu’il n’est pas éta­b­li si elle ent­raî­ne éga­le­ment une vio­la­ti­on au sens de l’ar­tic­le 12, point 4. RGPD (par exemp­le un accès non auto­ri­sé). Dans ce cas, l’ob­li­ga­ti­on de noti­fi­ca­ti­on ne s’ap­pli­que que si la vio­la­ti­on de la sécu­ri­té ent­raî­ne un ris­que “éle­vé” pour les per­son­nes concernées.
  • Lors de la Affec­ta­ti­on des fonds la que­sti­on se pose de savoir si une aut­re fina­li­té com­pa­ti­ble avec la fina­li­té initia­le néces­si­te une base juri­di­que pro­pre ou – en rai­son de la com­pa­ti­bi­li­té – peut être direc­te­ment fon­dée sur la base juri­di­que de la fina­li­té initia­le. Sur ce point, la DSK une cla­ri­fi­ca­ti­on selon laquel­le le second objec­tif doit avoir une base juri­di­que pro­pre. Pour cela, la deu­xiè­me phra­se du con­sidé­rant 50 dev­rait être sup­p­ri­mée (“Dans ce cas, aucu­ne base juri­di­que distinc­te de cel­le de la coll­ec­te des don­nées à carac­tère per­son­nel n’est requi­se”.).
  • Pour les Publi­ci­té direc­te dev­rait être dans la RGPD une base juri­di­que spé­ci­fi­que ou une mise en balan­ce des inté­rêts doit être incluse.
  • Sur le site Pro­fi­la­ge il faut ren­forcer le cad­re juri­di­que : “cet­te fin, l’in­ter­dic­tion de la pri­se de décis­i­on indi­vi­du­el­le auto­ma­ti­sée pré­vue à l’ar­tic­le 22 de la direc­ti­ve sur la pro­tec­tion des don­nées dev­rait être sup­p­ri­mée. RGPD être éten­du au trai­te­ment des don­nées à des fins de pro­fi­la­ge. Seuls le con­sen­te­ment ou un cont­rat doi­vent ent­rer en ligne de comp­te com­me bases juri­di­ques pour le pro­fi­la­ge – out­re une base léga­le spé­cia­le. Cela garan­ti­ra qu’un pro­fi­la­ge n’au­ra lieu que si la per­son­ne con­cer­née en est con­sci­en­te et y consent”.

Le docu­ment con­ti­ent une liste d’aut­res pro­po­si­ti­ons de modification.