Bruxelles, le 19 novembre – Lors de sa session plénière, le comité européen de la protection des données a adopté des lignes directrices sur l’interaction entre l’article 3 et le chapitre V du RGPD. Clarifiant l’interaction entre le champ d’application territorial du RGPD (article 3) et les dispositions relatives aux transferts internationaux énoncées au chapitre V, les lignes directrices visent à aider les responsables du traitement et les sous-traitants de l’UE à déterminer si une opération de traitement constitue un transfert international et à fournir une interprétation commune de la notion de transferts internationaux.
Les lignes directrices énumèrent trois critères cumulatifs pour considérer qu’un traitement constitue un transfert: 1) l’exportateur de données (un responsable du traitement ou un sous-traitant) est soumis au RGPD pour le traitement donné; 2) l’exportateur de données transmet ou met les données à caractère personnel à la disposition de l’importateur de données (une autre responsable du traitement, responsable conjoint du traitement ou sous-traitant); 3) l’importateur de données se trouve dans un pays tiers ou est une organisation internationale.
Le traitement sera considéré comme un transfert, que l’importateur établi dans un pays tiers soit ou non déjà soumis au RGPD en vertu de l’article 3 de celui-ci. Toutefois, le comité européen de la protection des données considère que la collecte de données effectuée directement auprès des personnes concernées dans l’UE de leur propre initiative ne constitue pas un transfert.
Andrea Jelinek, présidente du comité européen de la protection des données, a ajouté ceci: «Les présentes lignes directrices fournissent une interprétation cohérente de la notion de “transferts internationaux” et précisent que, lorsqu’un importateur de données est soumis au RGPD, les obligations résultant du chapitre V dudit règlement s’appliquent tant au transfert de l’UE vers l’importateur qu’à tout transfert ultérieur effectué par l’importateur».
Les lignes directrices feront l’objet d’une consultation publique jusqu’à la fin janvier.
Le comité européen de la protection des données a adopté une déclaration sur le train de mesures sur les services numériques et la stratégie en matière de données de la Commission européenne. Dans sa déclaration, le comité met en évidence trois types importants de préoccupations concernant les propositions que la Commission a présentées jusqu’ici [acte sur la gouvernance des données (DGA), législation sur les services numériques (DSA), législation sur les marchés numériques (DMA) et règlement relatif à l’IA (AIR)]:
- absence de protection des droits et libertés fondamentaux des personnes;
- contrôle fragmenté;
- risques d’incohérences.
Le comité européen de la protection des données et le CEPD ont déjà émis des avis conjoints sur le DGA et l’AIR et le CEPD a rendu des avis sur la stratégie européenne pour les données, la DMA et la DSA. Dans sa déclaration, le comité européen de la protection des données réitère son appel en faveur de l’interdiction de toute utilisation de l’IA en vue d’une reconnaissance automatique des caractéristiques humaines dans l’espace public et invite instamment le colégislateur à envisager une suppression progressive conduisant à une interdiction de la publicité ciblée sur la base d’un suivi systématique, tandis que le profilage des enfants devrait être totalement interdit.
Le comité européen de la protection des données souligne en outre les risques liés à des structures de contrôle parallèles et recommande vivement que chaque proposition prévoie une base juridique explicite en vue d’une coopération et d’un échange d’information efficaces entre les autorités de contrôle compétentes instituées par chaque proposition et les autorités chargées de la protection des données.
En outre, le comité européen de la protection des données invite la Commission et le colégislateur à veiller à ce que les propositions indiquent clairement qu’elles n’affectent ni ne compromettent l’application des règles existantes en matière de protection des données et que ces règles prévalent en cas de traitement de données à caractère personnel, y compris dans le cadre de la future proposition de législation sur les données.
Enfin, le comité européen de la protection des données a nommé deux représentants des autorités de contrôle belge et de Hesse (Allemagne) en vue de participer au 6e examen conjoint de l’accord UE-États-Unis sur le programme de surveillance du financement du terrorisme (TFTP).
EDPB_Press Release_2021_10