Article Post on 09 March 2017

Actualités en matière de protection des données

_Adoption par la Commission européenne d’une proposition de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques

Le 10 janvier 2017, la Commission européenne a adopté une proposition de Règlement1 pour moderniser les règles en matière de respect de la vie privée dans le domaine des communications électroniques. Elle abrogera la directive 2002/58/EC relative à la vie privée et les communications électroniques2.

Avec la proposition de Règlement vie privée et communications électroniques, la Commission européenne vise à :

  • rendre toutes les communications électroniques confidentielles.
  • garantir la confidentialité du comportement en ligne et des appareils de l’utilisateur : en principe, il est impossible d’accéder aux informations enregistrées sur l’ordinateur de l’utilisateur ou de suivre son comportement en ligne, à moins que l’utilisateur n’y consente expressément ou que l’une des exceptions de la proposition s’applique. Par exemple, le dépôt de cookies internet sans le consentement de l’utilisateur est prohibé, à moins qu’un tel cookie soit sans impact sur la vie privée (cookies mesurant l’audience d’une page web).
  • obliger à recueillir le consentement pour traiter des données de communication électronique : cette obligation s’applique à toutes les données de communication électronique, c’est-à-dire le contenu de la communication et ses métadonnées. Les métadonnées sont celles permettant de tracer et identifier la source et la destination de la communication (comme : la date, l’heure, la durée et le type de communication).
  • obliger à recueillir le consentement préalable pour l’envoi de communications marketing directes : la seule exception concerne la collecte de données dans le cadre d’une vente de produits ou services. Dans ce cas, le client doit toujours avoir la possibilité de s’opposer au traitement de données.

Etant complémentaire du Règlement Général sur la Protection des Données (RGPD), la proposition de Règlement et le RGPD seront applicables en même temps, le 25 mai 2018.

1. Proposition de Règlement du Parlement Européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques») – 10 Janvier 2017 – COM(2017) 10 final
2. Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), JO L 201, 31/07/2002, p. 37-47


 

_Lignes directrices relatives au chargé de protection des données (DPO) adoptées par le Groupe Article 29 

Le Groupe Article 29, qui rassemble les autorités nationales de protection des données personnelles en Europe, a adopté en date du 13 décembre 2016 des lignes directrices relatives au chargé de protection des données (« DPO »).

Selon l’Article 37 du GDPR du 27 avril 2016, le responsable de traitement et le sous-traitant désigne un DPO dans les cas suivants :

  • le traitement est effectué par une autorité publique ou un organisme public ; ou
  • les activités de base du responsable du traitement ou du sous-traitant exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données (médicales, condamnations pénales).

En conséquence, les lignes directrices précisent les conditions de désignation obligatoire d’un DPO et fournit des précisions sur les termes employés dans la disposition légales :

  • Activités de base : ce sont les opérations principales nécessaires à l’accomplissement des activités du responsable du traitement ou du sous-traitant
  • Traitement à grande échelle : un traitement est réputé être à grande échelle en considération de certains critères :
    • le nombre de personnes concernées – en considération d’un nombre spécifique ou en proportion du public pertinent ;
    • le volume de données et/ou l’étendue des différentes données traitées ;
    • la durée, le caractère permanent des activités de traitement de données ;
    • l’étendue géographique des activités de traitement.
  • Suivi régulier et systématique : le « suivi » est défini par le considérant 24 du Règlement comme « l'utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit ».

Il est « régulier » lorsqu’il remplit l’un ou plusieurs des critères suivants :

  • il intervient à des intervalles particuliers sur une période déterminée ;
  • il est récurrent ou répété à des périodes déterminées
  • il est effectué constamment ou périodiquement

Il est « systématique » lorsqu’ il remplit l’un ou plusieurs des critères suivants :

  • il est effectué selon un système ;
  • il est pré-arrangé, organisé ou méthodique ;
  • il est réalisé dans le cadre d’un plan général de collecte des données ;
  • il est réalisé dans le cadre d’une stratégie.

 

_Les FAQ relatives au bouclier de protection des données personnelles UE-USA (« EU-U.S. Privacy Shield ») adoptées par le Groupe Article 29

Le Groupe Article 29, qui rassemble les autorités nationales de protection des données personnelles en Europe, a adopté en date du 13 décembre 2016 un document « foire aux questions » relatif au bouclier de protection des données personnelles UE-Etats-Unis (« EU-U.S. Privacy Shield »).

Le bouclier de protection des données personnelles UE-Etats-Unis a vocation à remplacer le système précédent du “Safe Harbor” (invalidé par la décision “Schrems” rendue en date du 6 octobre 2015 par la Cour de Justice de l’Union européenne) par la mise en place d’un mécanisme d’auto-certification pour les entreprises basées aux Etats-Unis, reconnu par la Commission européenne comme garantissant un niveau de protection adéquat pour les données personnelles transférées d’un pays européen à une entreprise auto-certifiée basée aux Etats-Unis (Q.1 of the F.A.Q.).

La « Foire Aux Questions » publiée par le Groupe Article 29, entre autres :

  • spécifie quelles entreprises américaines sont éligibles au “Privacy Shield” ;
  • rappelle les pouvoirs d’investigation et de contrainte de la « Federal Trade Commission » ou du « Department of Transportation » ;
  • fournit le lien vers la liste “Privacy Shield”, publiée par le Département du Commerce américain sur son site (https://www.privacyshield.gov/welcome), qui contient une liste des entreprises basées aux Etats-Unis ayant accompli avec succès la procédure d’auto-certification, une liste des types de données personnelles pour lesquelles une entreprise basée aux Etats-Unis a été certifiée, une liste des entreprises qui ne sont plus membres de la liste,…
  • rappelle les règles légales applicables aux transferts de données personnelles vers une entreprise basée aux Etats-Unis par une entreprise européenne agissant en tant que responsable de traitement (base légale du transfert, conditions générales et principes devant être remplis, information de la personne concernée,…) et en tant que sous-traitant (obligation de conclure un contrat lié au traitement des données dans tous les cas).

 

Pour de plus amples renseignements sur la protection des données, contactez Emmanuelle Ragot, IP/TMT Partner.

Share this content