Comité Européen de la Protection des Données

Comité européen de la protection des données - Cinquième réunion plénière: projet de décision d'adéquation UE-Japon, listes relatives à l’AIPD (DK, HR, LU, et SI) et lignes directrices concernant l’accréditation

Generic press release icon
Wednesday, 5 December, 2018
EDPB

Bruxelles, le 5 décembre - Les 4 et 5 décembre, les autorités européennes chargées de la protection des données, assemblées au sein du comité européen de la protection des données, se sont réunies à l’occasion de la cinquième séance plénière dudit comité. Au cours de cette séance, un large éventail de sujets a été examiné.
 
Projet de décision d’adéquation UE-Japon
Les membres du comité ont adopté un avis portant sur le projet de décision d'adéquation UE-Japon, que la Commission européenne a soumis au comité en septembre 2018. Le CEPD  a effectué son évaluation en se fondant sur les documents mis à disposition par la Commission européenne. L'objectif principal du CEPD était de déterminer si la Commission s’est assurée de l’existence de garanties suffisantes pour fournir un niveau adéquat de protection des données des personnes physiques dans le cadre japonais. Il est important de savoir que le CEPD n’attend pas du cadre juridique japonais qu'il reproduise la législation européenne en matière de protection des données. Le CEPD se félicite des efforts consentis par la Commission européenne et par l’autorité japonaise chargée de la protection des données pour accroître la convergence entre les cadres juridiques japonais et européen. Les améliorations apportées par les règles complémentaires dans le but de réduire certaines différences entre les deux cadres juridiques sont très importantes, et sont accueillies avec satisfaction. Cependant, à l’issue d'une analyse minutieuse du projet de décision d’adéquation de la Commission et du cadre japonais de protection des données, le CEPD note que certaines préoccupations subsistent, notamment en ce qui concerne la protection pour toute leur durée de vie des données à caractère personnel transférées de l’Union européenne vers le Japon. Le CEPD recommande à la Commission européenne de répondre à ses demandes de clarification, de fournir davantage d'éléments et d’explications concernant les questions soulevées, et de suivre de près l’application effective.

Le CEPD considère que la décision d’adéquation UE-Japon est de la plus haute importance. Cette décision constituera un précédent puisqu'il s'agit de la première décision d'adéquation depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD).

Listes relatives à l’AIPD
Le CEPD a adopté des avis portant sur les listes concernant l'analyse d'impact relative à la protection des données (AIPD) qui lui ont été soumises par le Danemark, la Croatie, le Luxembourg et la Slovénie. Ces listes constituent un outil important pour l'application uniforme du RGPD dans l’ensemble de l’EEE. L’AIPD est un processus permettant de recenser et d'atténuer les risques liés à la protection de données qui pourraient porter atteinte aux droits et aux libertés des personnes. Alors que, de manière générale, le responsable du traitement des données doit évaluer la nécessité d’une AIPD avant d'entamer le traitement, les autorités de contrôle nationales doivent déterminer les types d’opérations de traitement nécessitant une telle analyse, et en établir une liste. Ces quatre avis font suite aux 22 avis adoptés au cours de la séance plénière de septembre, et contribueront à établir des critères communs au sein de l’EEE pour les analyses d'impact relatives à la protection des données. Andrea Jelinek, présidente du CEPD, a déclaré: «Ce processus a été une excellente occasion pour le CEPD d’évaluer les possibilités d'une application uniforme et les difficultés que celle-ci pose dans la pratique. Le RGPD ne nécessite pas une harmonisation complète ni une «liste de l'UE», mais une plus grande uniformité à laquelle nous sommes parvenus dans ces avis en adoptant une position commune.»

Lignes directrices sur l’accréditation
Le CEPD a adopté une version révisée des lignes directrices du GT art. 29 relatives à l’accréditation, y compris une nouvelle annexe. Le projet de lignes directrices a initialement été adopté par le GT art. 29, et soumis à une consultation publique. Le CEPD a finalisé son analyse et est parvenu à une conclusion sur la version finale. L’objectif des lignes directrices est de fournir des orientations sur l’interprétation et la mise en œuvre des dispositions de l’article 43 du RGPD. Ces lignes directrices visent notamment à aider les États membres, les autorités de contrôle et les organismes nationaux d’accréditation à mettre en place des normes de référence cohérentes et harmonisées pour l’accréditation des organismes de certification qui délivrent une certification conformément au RGPD. Les lignes directrices ont été complétées par une annexe, qui fournit des orientations concernant les exigences supplémentaires que les autorités de contrôle doivent imposer pour l’accréditation des organismes de certification. Cette annexe fera l’objet d’une consultation publique.