Que nous reste-t-il du G29 ?
L’information a été peu relayée, mais en même temps qu’entrait en vigueur le règlement général sur la protection des données personnelles (RGPD), le G29 tirait sa révérence (voir le communiqué de presse du 11 juin 2018). Cette instance ô combien précieuse a été remplacée par le Comité européen de la protection des données (CEPD), qui devrait prolonger ses travaux. L’occasion d’un bilan, mais aussi de faire le point sur les derniers travaux conclus avant que le rideau tombe.
Etat des travaux produits
A la suite de sa réunion plénière des 28 et 29 novembre 2017, le G29 a adopté des lignes directrices sur le consentement et sur la transparence, respectivement révisées les 10 et 11 avril 2018. Ces lignes directrices s’ajoutent à celles sur l’autorité chef de file, sur le DPD, la portabilité, l’analyse d’impact, le profilage, la notification de violations et les techniques d’anonymisation (voir le tableau récapitulatif en fin d’article).
Point sur les lignes directrices récemment révisées
Les lignes directrices sur la transparence abordent, en particulier, le sujet de l’équilibre délicat entre la nécessité de fournir aux personnes concernées les informations importantes concernant les traitements mis en œuvre et l’exigence de clarté et de lisibilité de ces informations. Afin d’éviter que les personnes concernées ne soient noyées sous les informations, le G29 propose la solution d’un « premier niveau d’information » délivré lors de la collecte des données à caractère personnel et accompagné d’un lien renvoyant à la politique de confidentialité. Cette dernière deviendra alors un élément central de l’information des personnes concernées. Elle devra être exhaustive sur les traitements mis en œuvre et être organisée d’une manière claire et lisible, permettant un accès aisé aux différents renseignements qu’elle contient. Le G29 considère d’ailleurs que pour les applications mobiles, cette politique de confidentialité doit être facilement accessible : l’utilisateur ne doit donc pas avoir à cliquer plus de deux fois pour y accéder.
Le G29 accompagne ses préconisations de nombreux exemples concrets et de modèles de mentions offrant aux acteurs de la protection des données à caractère personnel des conseils pratiques pour faciliter leur mise en conformité.
Les lignes directrices sur le consentement précisent les caractéristiques d’un consentement valide. Il doit être libre, spécifique, informé, obtenu explicitement et surtout il ne doit pas être conditionné. En effet, le G29 définit les conditions dans lesquelles un consentement est « librement donné ». Il estime que celui-ci ne saurait être lié ou conditionné à la fourniture d’un bien ou d’un service.
De plus, il rappelle que, selon le considérant 171 du RGPD, les responsables du traitement devront revoir tous leurs traitements reposant sur le consentement afin de vérifier que les qualités requises du consentement sont remplies. En effet, ces traitements seront en infraction avec la réglementation Informatique et libertés s’ils ne remplissent pas les conditions de validité requises ou si le responsable du traitement ne peut rapporter la preuve de leur conformité.
Ces lignes directrices apportent donc les précisions utiles sur les mesures et mentions que les entreprises doivent prendre ou mettre en place afin d’être en conformité. L’heure de l’audit a sonné !
Lignes directrices existantes (sujet) | Lignes directrices existantes (sujet) |
---|---|
Consentement - 17/EN WP260 rev.01 | 28 novembre 2017, révisées le 10 avril 2018 |
Transparence - 17/EN WP259 rev.01 | 29 novembre 2017, révisées le 11 avril 2018 |
Désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitantant - 16/FR WP 244 rev.01 | 13 décembre 2016, révisées le 5 avril 2017 |
Délégué à la protection des données - 16/FR WP 243 rev.01 | 13 décembre 2016, révisées le 5 avril 2017 |
Droit à la portabilité des données - 16/FR WP 242 rev.01 | 13 décembre 2016, révisées le 5 avril 2017 |
Analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est "susceptible d’engendrer un risque élevé" - 17/FR WP 248 rév. 01 | 4 avril 2017, révisées le 4 octobre 2017 |
Décisions individuelles automatisées, y compris le profilage - 17/EN WP251rev.01 | 3 octobre 2017, révisées le 6 février 2018 |
Notifications de violations – WP 250 rev.01 | 3 octobre 2017, révisées le 6 février 2018 |
Techniques d'anonymisation - 0829/14/FR WP 216 | 10 avril 2014 |
Auteurs
Eléonore Favéro, avocat, droit de la propriété intellectuelle, droit de l’informatique, des communications électroniques et protection des données personnelles