Post on 10-Aug-2020
Avis9/2018
surleprojetdelisteétabliparl’autoritédecontrôlecompétentedelaFrance
concernant
lesopérationsdetraitementpourlesquellesuneanalysed’impactrelativeàlaprotectiondesdonnéesestrequise(article35,paragraphe4,duRGPD)
adoptéle25septembre2018
2
Tabledesmatières
1. Résumédesfaits..............................................................................................................5
2. Évaluation.........................................................................................................................5
2.1 Raisonnementgénéraldel’EDPBconcernantlalistesoumise..................................5
2.2 Applicationdumécanismedecontrôledelacohérenceauprojetdeliste...............6
2.3 Analyseduprojetdeliste..........................................................................................6
Natureindicativedelaliste..............................................................................................6
Référenceauxlignesdirectrices.......................................................................................6
Donnéesbiométriques.....................................................................................................7
Donnéesgénétiques.........................................................................................................7
Donnéesdelocalisation...................................................................................................7
Surveillancedesemployés...............................................................................................7
3. Conclusions/recommandations........................................................................................8
4. Remarquesfinales............................................................................................................8
3
Lecomitéeuropéendelaprotectiondesdonnées,
vu l’article63, l’article64, paragraphe1, pointa), l’article64, paragraphes3 à8, etl’article35,paragraphes1,3,4et6,durèglement(UE)2016/679duParlementeuropéenetdu Conseil du 27avril2016 relatif à la protection des personnes physiques à l’égard dutraitementdesdonnées à caractèrepersonnel et à la libre circulationde cesdonnées, etabrogeantladirective95/46/CE(ci-aprèsle«RGPD»),
vu l’accord sur l’Espace économique européen, et notamment son annexeXI et sonprotocole37, tels quemodifiés par la décision du Comitémixte de l’EEE nº154/2018 du6juillet2018,
vulesarticles10et22desonrèglementintérieurdu25mai2018,
considérantcequisuit:
(1)Lamission principale du comité est de veiller à l’application cohérente du RGPD dansl’ensembledel’Espaceéconomiqueeuropéen.Conformémentàl’article64,paragraphe1,duRGPD, le comité doit émettre un avis chaque fois qu’une autorité de contrôle envisaged’adopterunelisted’opérationsdetraitementpourlesquellesuneanalysed’impactrelativeàlaprotectiondesdonnéesdoitêtreeffectuéeenapplicationdel’article35,paragraphe4,duRGPD.L’objectifduprésentavisestdèslorsdemettreaupointuneapprocheharmoniséeconcernantlesactivitésdetraitementquisonttransfrontalièresouquipeuventaffecterlalibrecirculationdesdonnéesàcaractèrepersonneloudespersonnesphysiquesauseindel’Union européenne. Bien que le RGPD n’impose pas de liste unique, il encourage lacohérence. Le comité poursuit cet objectif de cohérence dans ses avis, premièrement endemandantauxautoritésdecontrôled’inclurecertainstypesdetraitementdansleurslistes,deuxièmementenleurdemandantdesupprimercertainscritèresqui,selonlui,n’engendrentpasnécessairementdesrisquesélevéspourlespersonnesconcernées,ettroisièmementenleurdemandantd’utilisercertainscritèresdemanièreharmonisée.
(2)Conformément à l’article35, paragraphes4 et6, du RGPD, les autorités de contrôlecompétentesdoiventétablirdeslistesdestypesd’opérationsdetraitementpourlesquellesuneanalysed’impactrelativeàlaprotectiondesdonnées(ci-aprèsl’«AIPD»)estrequise.Ellesdoivent cependantappliquer lemécanismedecontrôlede la cohérence lorsqueces listescomprennent des opérations de traitement liées à l’offre de biens ou de services à despersonnesconcernéesouausuivideleurcomportementdansplusieursÉtatsmembres,oupeuventaffectersensiblementlalibrecirculationdesdonnéesàcaractèrepersonnelauseindel’Union.
(3)Silesprojetsdelistedesautoritésdecontrôlecompétentessontsoumisaumécanismede contrôle de la cohérence, cela ne signifie pas pour autant que ces listes doivent êtreidentiques.Lesautoritésdecontrôlecompétentesdisposentd’unemarged’appréciationen
4
cequiconcernelecontextenationalourégionaletdoiventtenircomptedeleurlégislationlocale.L’objectifdel’évaluation/avisducomitéeuropéendelaprotectiondesdonnées(ci-après l’«EDPB») n’est pas d’établir une liste unique pour l’Union,mais plutôt d’éviter lesincohérences significatives qui pourraient porter atteinte à la protection équivalente despersonnesconcernées.
(4)Conformément à l’article35, paragraphe1, du RGPD, la réalisation d’une AIPD par leresponsable du traitement n’est obligatoire que lorsque le traitement «est susceptibled’engendrerunrisqueélevépourlesdroitsetlibertésdespersonnesphysiques».L’article35,paragraphe3, du RGPD contient des exemples de cas susceptibles d’engendrer un risqueélevé. Cette liste n’est pas exhaustive. Dans ses lignes directrices concernant l’analysed’impactrelativeàlaprotectiondesdonnées1,tellesqu’approuvéesparl’EDPB2,legroupedetravail «Article29» a défini des critères permettant de déterminer les opérations detraitementpour lesquellesuneAIPDestobligatoire.Selonles lignesdirectricesWP248dugroupede travail «Article29»,dans laplupartdes cas, le responsabledu traitementpeutconsidérerqu’untraitementsatisfaisantàdeuxcritèresnécessiteuneAIPD;néanmoins,danscertainscas, leresponsabledutraitementpeutconsidérerquemêmesisontraitementnesatisfaitqu’àunseuldecescritères,ilrequiertmalgrétoutuneAIPD.
(5)Leslistesélaboréesparlesautoritésdecontrôlecompétentesvisentlemêmeobjectif,àsavoirdéterminerlesopérationsdetraitementquisontsusceptiblesd’engendrerunrisqueélevéetqui,dèslors,requièrentuneAIPD.Parconséquent,ilconvientd’appliquerlescritèresétablisdansleslignesdirectricesdugroupedetravail«Article29»aumomentd’évaluersilesprojets de liste des autorités de contrôle compétentes ne portent pas atteinte à uneapplicationcohérenteduRGPD.
(6)Vingt-deuxautoritésdecontrôlecompétentesontsoumisleursprojetsdelisteàl’EDPB.Uneévaluationglobaledecesprojetsdelistesoutientl’objectifd’applicationcohérenteduRGPDendépitdelacomplexitécroissantedelaquestion.
(7)L’avisdel’EDPBdoitêtreadoptéconformémentàl’article64,paragraphe3,duRGPD,enliaisonavecl’article10,paragraphe2,durèglementintérieurdel’EDPB,dansundélaidehuitsemainesàcompterdupremierjourouvrableaprèsqueleprésidentducomitéetl’autoritédecontrôlecompétenteontdécidéqueledossierétaitcomplet.Surdécisionduprésident,cedélaipeutêtreprolongédesixsemainesenfonctiondelacomplexitédelaquestion,
AADOPTÉLEPRÉSENTAVIS:
1Groupede travail «Article29», lignesdirectrices concernant l’analysed’impact relative à la protectiondesdonnées(AIPD)etlamanièrededéterminersiletraitementest«susceptibled’engendrerunrisqueélevé»auxfinsdurèglement(UE)2016/679(WP248rév.01).2EDPB,Endorsement1/2018.
5
1. Résumé des faits LaCommissionnationalede l’informatiqueetdes libertés (ci-après l’«autoritédecontrôlefrançaise»)asoumissonprojetdelisteàl’EDPB.Ladécisionrelativeaucaractèrecompletdudossieraétéprisele9juillet.Lapériodeautermedelaquellel’avisdevaitêtreadoptéaétéprolongéejusqu’au25septembrecomptetenudelacomplexitédelaquestion,étantdonnéquevingt-deuxautoritésdecontrôlecompétentesavaientsoumis leursprojetsde listeenmêmetemps,rendantuneévaluationglobalenécessaire.
2. Évaluation 2.1 Raisonnement général de l’EDPB concernant la liste soumise
Toute liste soumise à l’EDPB a été interprétée comme précisant davantage l’article35,paragraphe1, qui prévaut en tout état de cause. Dès lors, aucune liste ne saurait êtreexhaustive. Étantdonnéque cen’estpasexpressément spécifiédans la liste soumiseparl’autoritédecontrôlefrançaise,lecomitédemandequ’uneexplicationencesenssoitajoutéedansledocumentcontenantlaliste.
Conformémentàl’article35,paragraphe10,duRGPD,lecomitéestimeque,siuneAIPDadéjàétéeffectuéedanslecadred’uneanalysed’impactgénéraleréaliséedanslecadredel’adoptionde labase juridique, l’obligationdeprocéderàuneAIPDautitrede l’article35,paragraphes1à7,duRGPDnes’appliquepas,àmoinsquel’Étatmembren’estimequ’unetelleAIPDestnécessaire.
Enoutre,silecomitédemandeuneAIPDpourunecertainecatégoriedetraitementetqu’unemesureéquivalenteestdéjàrequiseparlalégislationnationale,ilyalieuquel’autoritédecontrôlefrançaiseajouteuneréférenceàcettemesure.
Leprésentavisneportepassurlesélémentssoumisparl’autoritédecontrôlefrançaisequiont été considérés comme ne relevant pas du champ d’application de l’article35,paragraphe6,duRGPD,àsavoirlesélémentsquinesontpasliés«àl’offredebiensoudeservices à des personnes concernées» dans plusieurs États membres ni au suivi de leurcomportement dans plusieurs États membres et qui ne sont pas non plus susceptiblesd’«affectersensiblement la librecirculationdesdonnéesàcaractèrepersonnelauseindel’Union».Ils’agitavanttoutd’élémentsliésàlalégislationnationale,enparticulierlorsquel’obligation de réaliser une AIPD est prévue par celle-ci. En outre, toute opération detraitement liée au domaine répressif a été considérée comme hors cadre, puisqu’elle nerelèvepasduchampd’applicationduRGPD.
Lecomitéaremarquéqueplusieursautoritésdecontrôleontinclusdansleurslistescertainstypesdetraitementquisontnécessairementdestraitementslocaux.Étantdonnéqueseulslestraitementstransfrontaliersetlestraitementssusceptiblesd’affecterlalibrecirculationdesdonnéesàcaractèrepersonneletdespersonnesconcernéessontvisésparl’article35,paragraphe6,lecomiténes’exprimerapassurcestraitementslocaux.
6
Le présent avis a pour objectif de définir une base cohérente d’opérations de traitementrécurrentesdansleslistesfourniesparlesautoritésdecontrôle.
Ainsi, pour un nombre limité de types d’opérations de traitement, qui seront définis demanièreharmonisée,touteslesautoritésdecontrôleexigerontlaréalisationd’uneAIPD,etle comité recommandera à ces autorités demodifier leurs listes en conséquence afin degarantirlacohérence.
Sicertainesentréesdelalistesoumisenefontl’objetd’aucuncommentairedansleprésentavis,celasignifiequel’autoritédecontrôlefrançaisenedoitrienfairedeplusàleurégard.
Enfin, le comité rappelle que la transparence est essentielle pour les responsables dutraitementetlessous-traitants.Afindeclarifierlesentréesdeslistes,lecomitéestimequel’ajout dans ces dernières d’une référence explicite aux critères définis dans les lignesdirectrices,pourchaquetypedetraitement,pourraitrenforcercettetransparence.Dèslors,lecomitéconsidèrequ’uneexplicationrelativeauxcritèresprisenconsidérationparl’autoritédecontrôlefrançaisepourélaborersalistepourraitêtreajoutée.
2.2 Application du mécanisme de contrôle de la cohérence au projet de liste
Leprojetdelistesoumisparl’autoritédecontrôlefrançaiseestliéàl’offredebiensoudeservicesàdespersonnesconcernéesetausuivideleurcomportementdansplusieursÉtatsmembres et/ou peut affecter sensiblement la libre circulation des données à caractèrepersonnelauseinde l’Union,principalementparcequelesopérationsdetraitementquiyfigurentnesontpaslimitéesauxpersonnesconcernéesdupaysenquestion.
2.3 Analyse du projet de liste
Comptetenudufaitque:a. l’article35,paragraphe1,duRGPDrequiertuneAIPDlorsquel’activitédetraitement
estsusceptibled’engendrerunrisqueélevépourlesdroitsetlibertésdespersonnesphysiques;etque
b. l’article35, paragraphe3, du RGPD contient une liste non exhaustive de types detraitementpourlesquelsuneAIPDestrequise,
lecomitéémetlesobservationssuivantes.
NATUREINDICATIVEDELALISTEÉtantdonnéquelecaractèrenonexhaustifdelalisten’estpasexpressémentspécifiédanslalistesoumiseparl’autoritédecontrôlefrançaise,lecomitédemandel’ajoutd’uneexplicationencesensdansledocumentcontenantlaliste.
REFERENCEAUXLIGNESDIRECTRICESLecomitéestimequel’analyseeffectuéeparlegroupedetravail«Article29»dansseslignesdirectricesWP248estunélémentclépourgarantirlacohérencedansl’ensembledel’Union.Dès lors, il demande aux différentes autorités de contrôle d’ajouter dans le document
7
contenantleurlisteunementionindiquantquecelle-ciestfondéesurceslignesdirectricesetqu’ellelescomplèteetlesprécisedavantage.
Étantdonnéqueledocumentdel’autoritédecontrôlefrançaisenecontientpasdementionàceteffet,lecomitérecommandeàcetteautoritédelemodifierenconséquence.
DONNEESBIOMETRIQUESLa liste soumise au comité pour avis par l’autorité de contrôle française prévoit que letraitementdedonnéesbiométriquesensoi relèvede l’obligationderéaliseruneAIPD.Lecomitéestimequeletraitementdedonnéesbiométriquesensoin’estpasnécessairementsusceptibledeprésenterunrisqueélevé.Néanmoins,letraitementdedonnéesbiométriqueseffectuéauxfinsd’identifierunepersonnephysiquedemanièreunique,associéàaumoinsunautrecritère,nécessitelaréalisationd’uneAIPD.Dèslors,lecomitédemandeàl’autoritédecontrôlefrançaisedemodifiersalisteenconséquence,enajoutantquel’élémentrelatifautraitementdedonnéesbiométriqueseffectuéauxfinsd’identifierunepersonnephysiquedemanièreuniquerequiertuneAIPDuniquementlorsqu’ilestassociéàaumoinsunautrecritère,sanspréjudicedel’article35,paragraphe3,duRGPD.
DONNEESGENETIQUESLa liste soumise au comité pour avis par l’autorité de contrôle française prévoit que letraitementdedonnéesgénétiquesensoirelèvedel’obligationderéaliseruneAIPD.Lecomitéestimequeletraitementdedonnéesgénétiquesensoin’estpasnécessairementsusceptibledeprésenterunrisqueélevé.Néanmoins,letraitementdedonnéesgénétiquesassociéàaumoinsunautre critèrenécessite la réalisationd’uneAIPD.Dès lors, le comitédemandeàl’autorité de contrôle française de modifier sa liste en conséquence, en ajoutant quel’élémentrelatifautraitementdedonnéesgénétiquesrequiertuneAIPDuniquementlorsqu’ilestassociéàaumoinsunautrecritère,sanspréjudicedel’article35,paragraphe3,duRGPD.
DONNEESDELOCALISATIONLecomitéestd’avisquelacohérenceestl’undesprincipesdebaseduRGPD.Ilconstateque,dansleurmajorité,leslistessoumisesfontexpressémentréférenceautraitementdedonnéesdelocalisation.Étantdonnéquelalistesoumisepouravisparl’autoritédecontrôlefrançaisenecontientpasdetelleréférence,lecomitéencouragecetteautoritéàinclureletraitementdedonnéesdelocalisationdanssaliste,enassociationavecunautrecritère.
SURVEILLANCEDESEMPLOYESLecomitéestd’avisqu’enraisondesanaturespécifique,letraitementdanslecadredelasurveillance des employés, qui remplit les critères relatifs aux personnes concernéesvulnérablesetàlasurveillancesystématiquementionnésdansleslignesdirectrices,pourraitnécessiteruneAIPD.Étantdonnéquelalistesoumiseaucomitépouravisparl’autoritédecontrôlefrançaiseenvisagedéjàcetypedetraitementcommerequérantuneAIPD,lecomitérecommande seulement d’ajouter une référence explicite aux deux critères des lignesdirectrices WP248 du groupe de travail «Article29». En outre, le comité estime que le
8
documentWP249dugroupedetravail«Article29»restevalablepourcequiestdedéfinirlanotiondetraitementsystématiquededonnéesd’employés.
3. Conclusions/recommandations Le projet de liste de l’autorité de contrôle française pourrait entraîner une applicationincohérentedel’exigencerelativeàlaréalisationd’uneAIPD,etlesmodificationssuivantesdoiventyêtreapportées:
• encequiconcernelanatureindicativedelaliste:lecomitédemandel’ajout,dansledocument contenant la liste, d’une explication précisant que celle-ci n’est pasexhaustive;
• en ce qui concerne la référence aux lignes directrices: le comité recommande àl’autoritédecontrôlefrançaisedemodifiersondocumentenconséquence;
• en ce qui concerne les données biométriques: le comité demande à l’autorité decontrôlefrançaisedemodifiersalisteenajoutantquel’élémentrelatifautraitementde données biométriques effectué aux fins d’identifier une personne physique demanièreunique requiertuneAIPDuniquement lorsqu’il est associé à aumoinsunautrecritère;
• en ce qui concerne les données génétiques: le comité demande à l’autorité decontrôlefrançaisedemodifiersalisteenajoutantquel’élémentrelatifautraitementdedonnéesgénétiquesrequiertuneAIPDuniquementlorsqu’ilestassociéàaumoinsunautrecritère;
• en ce qui concerne les données de localisation: le comité encourage l’autorité decontrôlefrançaiseàinclureletraitementdedonnéesdelocalisationdanssaliste,enassociationavecunautrecritère;
• encequiconcernelasurveillancedesemployés:lecomitérecommandeseulementdefaireexpressémentréférenceauxdeuxcritèresdeslignesdirectricesWP248dugroupedetravail«Article29».
4. Remarques finales Le présent avis est adressé à la Commission nationale de l’informatique et des libertés(autorité de contrôle française) et sera publié conformément à l’article64, paragraphe5,pointb),duRGPD.
Conformémentà l’article64,paragraphes7et8,duRGPD, l’autoritédecontrôledoit fairesavoirauprésidentducomitéparvoieélectronique,dansundélaidedeuxsemainessuivantlaréceptiondel’avis,siellemodifieraousiellemaintiendrasonprojetdeliste.Danslemêmedélai,elledoitfournirsonprojetdelistemodifiéou,siellen’apasl’intentiondesuivrel’avisducomité,entoutouenpartie,elledoitfournirlesmotifspertinentsjustifiantcechoix.
9
Pourlecomitéeuropéendelaprotectiondesdonnées
Laprésidente
(AndreaJelinek)