Le comité européen de la protection des données adopte des avis sur les premiers codes de conduite transnationaux, une déclaration relative à l’acte sur la gouvernance des données, et des recommandations sur la base juridique pour le stockage des données

20 May 2021 EDPB

Bruxelles, le 20 mai - Durant sa séance plénière, le comité européen de la protection des données a adopté, au titre de l’article 64 du RGPD, deux avis sur les premiers projets de décisions relatifs aux codes de conduite transnationaux1 (codes) présentés au comité par les autorités de contrôle belges et françaises. Plus particulièrement, le projet de décision de l’autorité de contrôle belge concerne le code de conduite de l’UE sur l’informatique en nuage, destiné aux fournisseurs de services en nuage, tandis que le projet de décision de l’autorité de contrôle française concerne le code de conduite de la CISPE, destiné aux fournisseurs de services d’infrastructure en nuage. Ces codes visent à fournir des orientations pratiques et à définir des exigences spécifiques (article 28 du RGPD) à l'intention des sous-traitants établis dans l’Union qui sont soumis à ces codes. Ils ne doivent pas être utilisés dans le cadre de transferts internationaux de données à caractère personnel. Le comité est d’avis que les deux projets de codes sont conformes au RGPD et satisfont aux exigences énoncées dans les articles 40 et 41 du RGPD. Conformément au RGPD, l'application de codes de conduite approuvés peut servir d’élément permettant de démontrer le respect des obligations légales.

Andrea Jelinek, présidente du comité européen de la protection des données, a déclaré à cet égard: «Nous saluons les efforts déployés par les responsables des codes pour élaborer des codes de conduite qui sont des outils pratiques, transparents et susceptibles de présenter un bon rapport coût-efficacité afin de garantir une plus grande cohérence au sein d'un secteur et de favoriser le respect de la protection des données.»

Le comité européen de la protection des données a adopté une déclaration relative à l’acte sur la gouvernance en fonction de l’évolution du processus législatif. La déclaration fait suite à l’avis conjoint de l’EDPB et du CEPD concernant l’acte sur la gouvernance et renforce ses principales observations. Le comité réaffirme qu’en l’absence de garanties solides en matière de protection des données, il existe un risque que la confiance dans l’économie numérique ne soit pas durable. La déclaration souligne en outre la nécessité de veiller à la cohérence entre l’acte sur la gouvernance et l’acquis de l’Union en matière de protection des données; elle invite instamment les colégislateurs à prêter attention à certains aspects, tels que l’interaction entre l’acte sur la gouvernance et le RGPD et l’importance de veiller à ce que les nouvelles définitions et concepts ne soient pas incompatibles avec le RGPD.

Enfin, le comité européen de la protection des données a adopté des recommandations sur la base juridique pour le stockage des données relatives aux cartes de crédit dans le seul but de faciliter de futures transactions en ligne. Les recommandations portent sur les situations dans lesquelles les personnes concernées achètent un produit ou paient pour un service par l’intermédiaire d'un site web ou d’une application et fournissent les données relatives à leur carte de crédit dans le but de conclure une transaction unique. Il semble que, dans de telles situations, la personne concernée ne s’attend pas raisonnablement à ce que les données relatives à la carte de crédit soient conservées plus longtemps que ce qui est nécessaire pour payer les biens ou les services, et que par ailleurs le stockage des données relatives à la carte de crédit pour faciliter les achats futurs n'est pas nécessaire pour la poursuite, par le responsable du traitement ou un tiers, de l'intérêt légitime. À ce titre, le consentement visé à l’article 6, paragraphe 1, point a), du RGPD, doit être considéré comme la seule base juridique appropriée pour le stockage des données relatives à la carte de crédit après l’achat.

1Cette terminologie utilisée dans les lignes directrices 01/2019 du comité concerne les codes de conduite relatifs aux activités de traitement dans plusieurs États membres.

 

Note aux éditeurs:
Veuillez noter que tous les documents adoptés dans le cadre de la séance plénière du comité européen de la protection des données font l'objet des contrôles juridiques, linguistiques et de formatage nécessaires et qu'ils seront publiés sur le site web du comité une fois ces contrôles effectués.

EDPB_Press Release_2021_04