Optimex Data revient sur l’actualité RGPD européenne en juin 2023 suite aux dernières clarifications de la CEDP.
Le Comité européen de la protection des données – CEDP, a tenu ce printemps à clarifier certains sujets essentiels de la conformité RGPD des responsables de traitements et du rôle des autorités de contrôles. De l’adoption de nouvelles lignes directrices en matière de droit d’accès au contrôle des délégués à la protection des données, nous revenons avec vous sur ces dernières actualités !
Droit d’accès, guichet unique, violation de données
Le 28 mars dernier, le CEPD a adopté de nouvelles lignes directrices sur le droit d’accès des personnes et mis à jour ses lignes directrices sur l’identification de l’autorité chef de file ainsi que celles sur la notification des violations de données.
Publication des lignes directrices sur le droit d’accès
L’objectif est d’apporter des orientations plus précises sur la manière dont le droit d’accès doit être mis en œuvre par les responsables de traitement, notamment sur son champ d’application, les informations à transmettre à la personne concernée, les modalités de fourniture de l’accès ou encore la notion de demande infondée ou excessive.
Mise à jour des lignes directrices sur l’autorité chef de file
L’autorité chef de file est l’autorité de contrôle du pays où se situe l’établissement principal d’une société, habilitée pour déposer une plainte ou mener des actions répressives l’autorité. Adoptée initialement en 2016, ces lignes directrices ont de nouveau été révisées afin de clarifier la désignation de l’autorité chef de file dans le cas spécifique de responsables conjoints de traitement. Il a notamment été précisé que chaque co-responsable doit disposer de son propre établissement principal et que l’accord conclu entre ces derniers ne sera pris en compte qu’à condition qu’il reflète de manière adéquate les rôles respectifs des responsables conjoints.
Mise à jour des lignes directrices sur la notification des violations de données
Ces lignes directrices, adoptées en 2017, apportent des précisions quant à la notion de violation de données et aux modalités de mise en œuvre de la procédure de notification auprès des autorités de contrôle. Une clarification de ces lignes directrices a toutefois été nécessaire cette année concernant la procédure de notification pour les entités situées en dehors de l’Espace économique européen. Afin de faciliter l’exercice de cette obligation, il a notamment été précisé que le CEPD publiera, sur son site internet, la liste des liens et coordonnées pour déclarer une violation de données auprès de chacune des autorités de l’Espace économique européen, ainsi que les langues acceptées.
Calcul des amendes administratives et procédure d’adoption des décisions contraignantes
Deux nouvelles séries de lignes directrices ont été adoptées par le CEPD les 24 et 25 mai derniers :
Lignes directrices sur le calcul des amendes administratives
Initialement adoptée le 12 mai 2022 en vue d’harmoniser les méthodes de calcul des amendes administratives prononcées par les autorités de contrôles (la CNIL en France), les lignes directrices sur le calcul des amendes administratives ont enfin été adoptées définitivement le 24 mai dernier !
Concernant les caractéristiques des amendes, le RGPD impose que les amendes administratives soient, dans chaque cas, effectives, proportionnées et dissuasives. Les autorités de contrôles calculent elles même le montant des amendes prononcées en tenant compte des caractéristiques de l’infraction et de son auteur. Enfin, le montant de ces sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.
La méthode issue de ces lignes directrices est établie en deux étapes :
- 1ère étape : calcul du montant de l’amende en fonction de la gravité de l’infraction
- 2nd étape : ajustement du montant de départ en fonction de la taille de l’entreprise
La méthode proposée par le CEPD permettra ainsi d’aligner les sanctions prononcées par les différentes autorités de contrôle européennes.
Lignes directrices sur la procédure d’adoption de décision contraignante par le CEPD
Le CEPD dispose du pouvoir d’adopter des décisions contraignantes afin de faire appliquer de manière cohérente le RGPD lors de traitement de données transfrontaliers. Il peut ainsi aider deux autorités de contrôles à résoudre leurs divergence en matière d’interprétation et d’application du RGPD.
Ces lignes directrices permettent notamment de clarifier l’application de la procédure de résolution des litiges, conformément à l’article 65, paragraphe 1, point a) du RGPD et précisent le cadre juridique applicable à cette procédure. Les lignes directrices clarifient également la compétence du CEPD dans l’adoption d’une décision juridiquement contraignante, les garanties procédurales et les recours applicables.
Délégué à la protection des données
Sous l’impulsion du Comité européen de la protection des données, la CNIL va procéder cette année à plusieurs vérification sur le rôle des délégués à la protection des données (DPO) désignés par les organismes. En effet, ces derniers ont l’obligation d’octroyer les moyens suffisants et adaptés au DPO afin qu’il puisse accomplir ses missions.
La CNIL a ainsi adresser au mois d’avril douze questionnaires à des organismes publics et privés afin d’évaluer si cette obligation est mise en œuvre conformément aux dispositions du RGPD. Les réponses apportées seront analysées par la CNIL et ses homologues européens qui pourront être amenés à effectuer des contrôles sur place afin de compléter leurs constatations. Un rapport sur les résultats obtenus sera publié suite à cette campagne par le CEPD.
L’équipe Optimex Data ne manquera pas de revenir vers vous pour vous informer des évolutions de ces contrôles.
