Bruxelles, le 17 janvier – Lors de sa réunion plénière de janvier 2025, le comité européen de la protection des données (CEPD) a adopté des lignes directrices sur la pseudonymisation, ainsi qu’une déclaration sur l’interaction entre le droit de la concurrence et la protection des données.
L’EDPB clarifie l’utilisation de la pseudonymisation pour se conformer au RGPD
Le RGPD introduit le terme «pseudonymisation»* et le désigne comme une garantie qui peut être appropriée et efficace pour satisfaire aux obligations en matière de protection des données. Dans ses lignes directrices, l’EDPB clarifie la définition et l’applicabilité de la pseudonymisation et des données pseudonymisées, ainsi que les avantages de la pseudonymisation.
Les lignes directrices apportent deux clarifications juridiques importantes:
- Les données pseudonymisées, qui pourraient être attribuées à une personne par l'utilisation d'informations supplémentaires, restent des informations relatives à une personne physique identifiable et restent donc des données à caractère personnel. En effet, si les données peuvent être reliées à une personne par le responsable du traitement ou par quelqu'un d'autre, elles restent des données personnelles.
- La pseudonymisation peut réduire les risques et faciliter l’utilisation d’intérêts légitimes comme base juridique [article 6, paragraphe 1, point f), du RGPD], pour autant que toutes les autres exigences du RGPD soient respectées. De même, la pseudonymisation peut contribuer à garantir la compatibilité avec l’objectif initial (article 6, paragraphe 4, du RGPD).
Les lignes directrices expliquent également comment la pseudonymisation peut aider les organisations à respecter leurs obligations relatives à la mise en œuvre des principes de protection des données (article 5 du RGPD), à la protection des données dès la conception et par défaut (article 25 du RGPD) et à la sécurité (article 32 du RGPD).
Finally, the guidelines analyse technical measures and safeguards, when using pseudonymisation, to ensure confidentiality and prevent unauthorised identification of individuals.
Les lignes directrices feront l’objet d’une consultation publique jusqu’au 28 février 2025, ce qui donnera aux parties prenantes la possibilité de formuler des observations et permettra d’intégrer les évolutions futures dans la jurisprudence.
Interaction entre le droit de la protection des données et le droit de la concurrence: la position du comité européen de la protection des données sur la manière d’améliorer la coopération entre les régulateurs
Au cours de la réunion plénière, l’EDPB a également adopté un document de prise de position sur l’interaction entre le droit de la protection des données et le droit de la concurrence.
L’arrêt Meta/Bundeskartellamt de la CJUE du 4 juillet 2023 a clairement indiqué que les autorités chargées de la protection des données et de la concurrence sont tenues de travailler ensemble, dans certains cas, pour parvenir à une application efficace et coordonnée du droit de la protection des données et de la concurrence. Bien qu'il s'agisse de domaines distincts du droit poursuivant des objectifs différents dans des cadres différents, ils peuvent dans certains cas s'appliquer aux mêmes entités. Il est donc important d'évaluer les situations où les lois peuvent se croiser.
Dans le présent document de synthèse, l’EDPB explique comment la protection des données et le droit de la concurrence interagissent. Il propose des mesures pour intégrer les facteurs liés au marché et à la concurrence dans les pratiques en matière de protection des données et pour que les règles de protection des données soient prises en considération dans les évaluations de la concurrence. Il formule également des recommandations en vue d'améliorer la coopération entre les organismes de réglementation. Par exemple: les autorités devraient envisager de créer un point de contact unique pour gérer la coordination avec les autres organismes de réglementation.
Zdravko Vukíc, vice-président du comité européen de la protection des données, a déclaré: «Àmesure que les modèles économiques évoluent, la nécessité de protéger les données à caractère personnel devient de plus en plus centrale. Le comité européen de la protection des données promeut la cohérence entre des domaines de réglementation distincts mais en interaction, afin d’assurer la meilleure protection possible des personnes. À cette fin, nous continuerons de collaborer avec les autorités de concurrence pour renforcer la capacité des autorités de protection des données (APD) à tenir compte du contexte économique et la capacité des autorités de concurrence à intégrer des considérations relatives à la protection des données dans leurs évaluations et décisions.»
Note aux rédacteurs:
* La « pseudonymisation » est définie à l’article 4, paragraphe 5, du RGPD comme « le traitement de données à caractère personnel de manière à ce que les données à caractère personnel ne puissent plus être attribuées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles visant à garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.