Comité Européen de la Protection des Données

Comité européen de la protection des données - Trente-septième séance plénière: Lignes directrices sur le responsable du traitement et le sous-traitant, lignes directrices sur le ciblage des utilisateurs des médias sociaux, groupe de travail chargé d’exam

Friday, 4 September, 2020

Bruxelles, le 3 septembre - Le comité a adopté des lignes directrices concernant les notions de responsable du traitement et de sous-traitant dans le RGPD et des lignes directrices concernant le ciblage des utilisateurs des médias sociaux. En outre, le comité européen de la protection des données a créé un groupe de travail chargé des plaintes à la suite de l’arrêt Schrems II de la CJUE et un groupe de travail consacré aux mesures supplémentaires que les exportateurs et importateurs de données peuvent être tenus de prendre pour garantir une protection adéquate lors du transfert de données à la lumière de l’arrêt Schrems II de la CJUE.

Le comité a adopté des lignes directrices concernant les notions de responsable du traitement et de sous-traitant dans le RGPD. Depuis l’entrée en vigueur du RGPD, des questions ont été soulevées quant à la mesure dans laquelle le RGPD a apporté des modifications à ces notions, notamment en ce qui concerne la notion de responsabilité conjointe du traitement (telle que définie à l’article 26 du RGPD et à la suite de plusieurs arrêts de la CJUE), ainsi que les obligations des sous-traitants (en particulier l’article 28 du RGPD) énoncées au chapitre IV du RGPD.

En mars 2019, le comité et son secrétariat ont organisé un événement réunissant les parties prenantes, qui a mis en évidence la nécessité d’orientations plus pratiques et a permis au comité de mieux comprendre les besoins et les préoccupations dans ce domaine. Les nouvelles lignes directrices se composent de deux parties principales: l’une expliquant les différentes notions; l’autre comprenant des orientations détaillées sur les principales conséquences de ces notions pour les responsables du traitement, les sous-traitants et les responsables conjoints du traitement. Les lignes directrices comprennent un organigramme visant à fournir des orientations pratiques supplémentaires. Ces lignes directrices feront l’objet d’une consultation publique.

Le comité a adopté des lignes directrices sur le ciblage des utilisateurs des médias sociaux. Les lignes directrices visent à fournir des orientations pratiques aux parties prenantes et contiennent divers exemples de situations différentes permettant à celles-ci d’identifier rapidement le «scénario» le plus proche de la pratique de ciblage qu’elles entendent déployer. Le principal objectif des lignes directrices est de clarifier les rôles et les responsabilités du fournisseur de médias sociaux et de la personne ciblée. À cette fin, les lignes directrices, entre autres, recensent les risques potentiels pour les libertés individuelles, les principaux acteurs et leurs rôles, l’application des principales exigences en matière de protection des données, telles que la licéité et la transparence et l’analyse d’impact relative à la protection des données (AIPD), ainsi que des éléments clés des accords entre les fournisseurs de médias sociaux et les personnes ciblées. En outre, les lignes directrices se concentrent sur les différents mécanismes de ciblage, le traitement de catégories particulières de données et l’obligation pour les responsables conjoints du traitement de conclure un accord approprié conformément à l’article 26 du RGPD. La plénière soumettra les lignes directrices en vue d’une consultation publique.

Le comité a créé un groupe de travail chargé d’examiner les plaintes déposées à la suite de l’arrêt Schrems II de la CJUE. Au total, 101 plaintes identiques ont été déposées auprès des autorités de l’EEE chargées de la protection des données contre plusieurs responsables du traitement dans les États membres de l’EEE concernant leur utilisation des services de Google/Facebook qui impliquent le transfert de données à caractère personnel. Plus précisément, les plaignants, représentés par l’ONG NOYB, affirment que Google/Facebook transfèrent des données à caractère personnel aux États-Unis en se fondant sur le bouclier de protection des données UE-États-Unis ou des clauses contractuelles types et que, selon le récent arrêt de la CJUE dans l’affaire C-311/18, le responsable du traitement n’est pas en mesure de garantir une protection adéquate des données à caractère personnel des plaignants. Le groupe de travail analysera la question et assurera une coopération étroite entre les membres du comité.

Dans le prolongement de l’arrêt Schrems II de la CJUE et en complément de la FAQ adoptée le 23 juillet, le comité a créé un groupe de travail. Ce groupe de travail élaborera des recommandations pour aider les responsables du traitement et les sous-traitants dans leur tâche consistant à déterminer et à mettre en œuvre des mesures supplémentaires appropriées pour garantir une protection adéquate lors du transfert de données vers des pays tiers.

Selon Andrea Jelinek, présidente du comité européen de la protection des données: «Le comité est bien conscient que l’arrêt Schrems II confère aux responsables du traitement une responsabilité importante. Outre la déclaration et la FAQ que nous avons présentées peu après l’arrêt, nous élaborerons des recommandations visant à aider les responsables du traitement et les sous-traitants à déterminer et à mettre en œuvre des mesures supplémentaires appropriées de nature juridique, technique et organisationnelle afin de satisfaire aux normes essentielles d’équivalence lors du transfert de données à caractère personnel vers des pays tiers. Toutefois, les implications de l’arrêt sont nombreuses et les contextes des transferts de données vers des pays tiers sont très variés. Par conséquent, il ne peut y avoir de solution universelle et rapide. Chaque organisation devra évaluer ses propres opérations de traitement et transferts de données et prendre les mesures appropriées.»

Note aux éditeurs:
Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.

EDPB_Press Release_2020_14