Comité européen de la protection des données - Avis sur les projets de décisions d’adéquation du Royaume-Uni, lignes directrices relatives à l’application de l'article 65, paragraphe 1, point a), du RGPD, lignes directrices sur le ciblage des utilisateurs

14 April 2021 EDPB

Bruxelles, le 14 avril - Lors de sa session plénière, le comité européen de la protection des données a adopté deux avis sur les projets de décisions d’adéquation du Royaume-Uni. L’avis 14/2021 s’appuie sur le RGPD et évalue à la fois les aspects généraux de la protection des données et l’accès des pouvoirs publics aux données à caractère personnel transférées depuis l’EEE aux fins répressives et de sécurité nationale mentionnées dans le projet de décision d’adéquation. Cette évaluation repose sur les critères de référence pour l’adéquation avec le RGPD (WP254). L’avis 15/2021 se fonde sur la directive en matière de protection des données dans le domaine répressif et analyse le projet de décision d’adéquation à la lumière des recommandations 01/2021 sur les critères de référence pour l’adéquation dans le cadre de ladite directive, ainsi que de la jurisprudence pertinente reflétée dans les recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance. Il s’agit du premier projet de décision d’exécution concernant l’adéquation d’un pays tiers au titre de cette directive jamais présenté par la Commission européenne et évalué par le comité européen de la protection des données.

Le comité européen de la protection des données note que les cadres de protection des données de l’UE et du Royaume-Uni sont étroitement alignés pour ce qui est de certaines dispositions essentielles, telles que les fondements du traitement loyal et licite pour des finalités légitimes, la limitation des finalités, la qualité et la proportionnalité des données, la conservation, la sécurité et la confidentialité des données, la transparence, les catégories particulières de données, ainsi que la prise de décision automatisée et le profilage.

Andrea Jelinek, présidente du comité européen de la protection des données, a déclaré: «Le cadre britannique en matière de protection des données est fondé en grande partie sur celui de l’UE. En plus de transposer la directive en matière de protection des données dans le domaine répressif et d'accorder des pouvoirs et d'imposer des obligations à l’autorité nationale de contrôle de la protection des données (ICO), la loi britannique de 2018 sur la protection des données précise l’application du RGPD en droit britannique. Ainsi, le comité européen de la protection des données reconnaît que le Royaume-Uni a reproduit, pour l’essentiel, le RGPD et la directive dans son cadre de protection des données et, lors de l’analyse de sa législation et de ses pratiques, il a relevé de nombreux aspects substantiellement équivalents. Toutefois, la législation étant susceptible d'évoluer, il convient de maintenir cet alignement. Nous saluons donc la décision de la Commission de limiter dans le temps l’adéquation accordée ainsi que son intention de suivre de près l’évolution de la situation au Royaume-Uni.»

Le comité européen de la protection des données souligne que plusieurs éléments devraient faire l'objet d’une évaluation plus approfondie et/ou d’une surveillance étroite par la Commission européenne dans sa décision fondée sur le RGPD, notamment:

  • la dérogation concernant l'immigration et ses conséquences en ce qui concerne les restrictions des droits des personnes concernées;
  • l’application de restrictions aux transferts ultérieurs de données à caractère personnel transférées de l’EEE vers le Royaume-Uni, sur la base, par exemple, de futures décisions d’adéquation adoptées par le Royaume-Uni, d'accords internationaux conclus entre le Royaume-Uni et des pays tiers ou de dérogations.

En ce qui concerne l’accès des autorités publiques, à des fins de sécurité nationale, aux données à caractère personnel transférées au Royaume-Uni, le comité européen de la protection des données se félicite de la création de l'Investigatory Powers Tribunal (tribunal chargé des pouvoirs d'enquête) pour relever les défis de la réparation dans le domaine de la sécurité nationale, ainsi que de l’établissement de commissaires judiciaires par la loi de 2016 sur les pouvoirs d’enquête en vue de garantir un meilleur contrôle dans ce même domaine. Le comité européen de la protection des données a néanmoins relevé un certain nombre de points nécessitant des éclaircissements et/ou un suivi supplémentaires:

  • les interceptions en masse;
  • l'évaluation et le contrôle indépendants de l’utilisation des outils de traitement automatisé;
  • les garanties prévues par la législation britannique en matière de divulgation à l’étranger, notamment à la lumière de l’application des dérogations liées à la sécurité nationale.

Le comité européen de la protection des données a adopté les lignes directrices relatives à l’application de l'article 65, paragraphe 1, point a), du RGPD pour définir les principales étapes de la procédure et préciser ses compétences lorsqu’il adopte une décision juridiquement contraignante sur la base de l’article 65, paragraphe 1, point a), du RGPD. Les lignes directrices contiennent également une description des garanties procédurales et des voies de recours. Ces lignes directrices feront l’objet d’une consultation publique durant six semaines.

Le comité européen de la protection des données a adopté une version finale des lignes directrices sur le ciblage des utilisateurs des médias sociaux à l'issue d’une consultation publique. L’objectif des lignes directrices est de clarifier le rôle et les responsabilités des fournisseurs de médias sociaux et des personnes ciblées. La version finale comprend des formulations mises à jour pour répondre aux observations et aux retours d’information reçus au cours de la consultation publique.

Le comité européen de la protection des données a adopté une déclaration sur les accords internationaux impliquant des transferts de données. Le comité invite les États membres de l’UE à évaluer et, le cas échéant, à revoir leurs accords internationaux qui impliquent des transferts internationaux de données à caractère personnel et qui ont été conclus avant le 24 mai 2016 (pour ceux relevant du RGPD) et le 6 mai 2016 (pour ceux relevant de la directive en matière de protection des données dans le domaine répressif) afin de les aligner, si nécessaire, sur la législation de l’UE en matière de protection des données.

 

Note à l’attention des éditeurs:
Veuillez noter que tous les documents adoptés dans le cadre de la séance plénière du comité européen de la protection des données font l'objet des contrôles juridiques, linguistiques et de formatage nécessaires et qu'ils seront publiés sur le site web du comité européen de la protection des données une fois ces contrôles effectués.

EDPB_Press Release_2021_03