Avis 7/2018 sur le projet de liste établi par l’autorité ... · A ADOPTÉ LE PRÉSENT AVIS: 1...
Transcript of Avis 7/2018 sur le projet de liste établi par l’autorité ... · A ADOPTÉ LE PRÉSENT AVIS: 1...
Avis7/2018
surleprojetdelisteétabliparl’autoritédecontrôlecompétentedelaGrèce
concernant
lesopérationsdetraitementpourlesquellesuneanalysed’impactrelativeàlaprotectiondesdonnéesestrequise(article35,paragraphe4,duRGPD)
adoptéle25septembre2018
2
Tabledesmatières
1. Résumédesfaits..............................................................................................................5
2. Évaluation.........................................................................................................................5
2.1 Raisonnementgénéraldel’EDPBconcernantlalistesoumise..................................5
2.2 Applicationdumécanismedecontrôledelacohérenceauprojetdeliste...............6
2.3 Analyseduprojetdeliste..........................................................................................6
Référenceauxlignesdirectrices.......................................................................................6
Donnéesbiométriques.....................................................................................................6
Donnéesgénétiques.........................................................................................................7
Grandeéchelle.................................................................................................................7
Traitementàdesfinsscientifiquesouhistoriquessansconsentement...........................7
Exceptionsaux informationsà fournir à lapersonneconcernéeprévuesà l’article14,paragraphe5,duRGPD....................................................................................................7
Traitementeffectuéàl’aided’unimplant.......................................................................8
3. Conclusions/recommandations........................................................................................8
4. Remarquesfinales............................................................................................................8
3
Lecomitéeuropéendelaprotectiondesdonnées,
vu l’article63, l’article64, paragraphe1, pointa), l’article64, paragraphes3 à8, etl’article35,paragraphes1,3,4et6,durèglement(UE)2016/679duParlementeuropéenetdu Conseil du 27avril2016 relatif à la protection des personnes physiques à l’égard dutraitementdesdonnées à caractèrepersonnel et à la libre circulationde cesdonnées, etabrogeantladirective95/46/CE(ci-aprèsle«RGPD»),
vu l’accord sur l’Espace économique européen, et notamment son annexeXI et sonprotocole37, tels quemodifiés par la décision du Comitémixte de l’EEE nº154/2018 du6juillet2018,
vulesarticles10et22desonrèglementintérieurdu25mai2018,
considérantcequisuit:
(1)Lamission principale du comité est de veiller à l’application cohérente du RGPD dansl’ensembledel’Espaceéconomiqueeuropéen.Conformémentàl’article64,paragraphe1,duRGPD, le comité doit émettre un avis chaque fois qu’une autorité de contrôle envisaged’adopterunelisted’opérationsdetraitementpourlesquellesuneanalysed’impactrelativeàlaprotectiondesdonnéesdoitêtreeffectuéeenapplicationdel’article35,paragraphe4,duRGPD.L’objectifduprésentavisestdèslorsdemettreaupointuneapprocheharmoniséeconcernantlesactivitésdetraitementquisonttransfrontalièresouquipeuventaffecterlalibrecirculationdesdonnéesàcaractèrepersonneloudespersonnesphysiquesauseindel’Union européenne. Bien que le RGPD n’impose pas de liste unique, il encourage lacohérence. Le comité poursuit cet objectif de cohérence dans ses avis, premièrement endemandantauxautoritésdecontrôled’inclurecertainstypesdetraitementdansleurslistes,deuxièmementenleurdemandantdesupprimercertainscritèresqui,selonlui,n’engendrentpasnécessairementdesrisquesélevéspourlespersonnesconcernées,ettroisièmementenleurdemandantd’utilisercertainscritèresdemanièreharmonisée.
(2)Conformément à l’article35, paragraphes4 et6, du RGPD, les autorités de contrôlecompétentesdoiventétablirdeslistesdestypesd’opérationsdetraitementpourlesquellesuneanalysed’impactrelativeàlaprotectiondesdonnées(ci-aprèsl’«AIPD»)estrequise.Ellesdoivent cependantappliquer lemécanismedecontrôlede la cohérence lorsqueces listescomprennent des opérations de traitement liées à l’offre de biens ou de services à despersonnesconcernéesouausuivideleurcomportementdansplusieursÉtatsmembres,oupeuventaffectersensiblementlalibrecirculationdesdonnéesàcaractèrepersonnelauseindel’Union.
(3)Silesprojetsdelistedesautoritésdecontrôlecompétentessontsoumisaumécanismede contrôle de la cohérence, cela ne signifie pas pour autant que ces listes doivent êtreidentiques.Lesautoritésdecontrôlecompétentesdisposentd’unemarged’appréciationen
4
cequiconcernelecontextenationalourégionaletdoiventtenircomptedeleurlégislationlocale.L’objectifdel’évaluation/avisducomitéeuropéendelaprotectiondesdonnées(ci-après l’«EDPB») n’est pas d’établir une liste unique pour l’Union,mais plutôt d’éviter lesincohérences significatives qui pourraient porter atteinte à la protection équivalente despersonnesconcernées.
(4)Conformément à l’article35, paragraphe1, du RGPD, la réalisation d’une AIPD par leresponsable du traitement n’est obligatoire que lorsque le traitement «est susceptibled’engendrerunrisqueélevépourlesdroitsetlibertésdespersonnesphysiques».L’article35,paragraphe3, du RGPD contient des exemples de cas susceptibles d’engendrer un risqueélevé. Cette liste n’est pas exhaustive. Dans ses lignes directrices concernant l’analysed’impactrelativeàlaprotectiondesdonnées1,tellesqu’approuvéesparl’EDPB2,legroupedetravail «Article29» a défini des critères permettant de déterminer les opérations detraitementpour lesquellesuneAIPDestobligatoire.Selonles lignesdirectricesWP248dugroupede travail «Article29»,dans laplupartdes cas, le responsabledu traitementpeutconsidérerqu’untraitementsatisfaisantàdeuxcritèresnécessiteuneAIPD;néanmoins,danscertainscas, leresponsabledutraitementpeutconsidérerquemêmesisontraitementnesatisfaitqu’àunseuldecescritères,ilrequiertmalgrétoutuneAIPD.
(5)Leslistesélaboréesparlesautoritésdecontrôlecompétentesvisentlemêmeobjectif,àsavoirdéterminerlesopérationsdetraitementquisontsusceptiblesd’engendrerunrisqueélevéetqui,dèslors,requièrentuneAIPD.Parconséquent,ilconvientd’appliquerlescritèresétablisdansleslignesdirectricesdugroupedetravail«Article29»aumomentd’évaluersilesprojets de liste des autorités de contrôle compétentes ne portent pas atteinte à uneapplicationcohérenteduRGPD.
(6)Vingt-deuxautoritésdecontrôlecompétentesontsoumisleursprojetsdelisteàl’EDPB.Uneévaluationglobaledecesprojetsdelistesoutientl’objectifd’applicationcohérenteduRGPDendépitdelacomplexitécroissantedelaquestion.
(7)L’avisdel’EDPBdoitêtreadoptéconformémentàl’article64,paragraphe3,duRGPD,enliaisonavecl’article10,paragraphe2,durèglementintérieurdel’EDPB,dansundélaidehuitsemainesàcompterdupremierjourouvrableaprèsqueleprésidentducomitéetl’autoritédecontrôlecompétenteontdécidéqueledossierétaitcomplet.Surdécisionduprésident,cedélaipeutêtreprolongédesixsemainesenfonctiondelacomplexitédelaquestion,
AADOPTÉLEPRÉSENTAVIS:
1Groupede travail «Article29», lignesdirectrices concernant l’analysed’impact relative à la protectiondesdonnées(AIPD)etlamanièrededéterminersiletraitementest«susceptibled’engendrerunrisqueélevé»auxfinsdurèglement(UE)2016/679(WP248rév.01).2EDPB,Endorsement1/2018.
5
1. Résumé des faits L’autorité grecque chargée de la protection des données (ci-après l’«autorité de contrôlegrecque»)asoumissonprojetdelisteàl’EDPB.Ladécisionrelativeaucaractèrecompletdudossieraétéprisele10juillet2018.Lapériodeautermedelaquellel’avisdevaitêtreadoptéaétéprolongéejusqu’au25septembrecomptetenudelacomplexitédelaquestion,étantdonnéquevingt-deuxautoritésdecontrôlecompétentesavaientsoumisleursprojetsdelisteenmêmetemps,rendantuneévaluationglobalenécessaire.
2. Évaluation 2.1 Raisonnement général de l’EDPB concernant la liste soumise
Toute liste soumise à l’EDPB a été interprétée comme précisant davantage l’article35,paragraphe1, qui prévaut en tout état de cause. Dès lors, aucune liste ne saurait êtreexhaustive.
Conformémentàl’article35,paragraphe10,duRGPD,lecomitéestimeque,siuneAIPDadéjàétéeffectuéedanslecadred’uneanalysed’impactgénéraleréaliséedanslecadredel’adoptionde labase juridique, l’obligationdeprocéderàuneAIPDautitrede l’article35,paragraphes1à7,duRGPDnes’appliquepas,àmoinsquel’Étatmembren’estimequ’unetelleAIPDestnécessaire.
Enoutre,silecomitédemandeuneAIPDpourunecertainecatégoriedetraitementetqu’unemesureéquivalenteestdéjàrequiseparlalégislationnationale,ilyalieuquel’autoritédecontrôlegrecqueajouteuneréférenceàcettemesure.
Leprésentavisneportepassurlesélémentssoumisparl’autoritédecontrôlegrecquequiont été considérés comme ne relevant pas du champ d’application de l’article35,paragraphe6,duRGPD,àsavoirlesélémentsquinesontpasliés«àl’offredebiensoudeservices à des personnes concernées» dans plusieurs États membres ni au suivi de leurcomportement dans plusieurs États membres et qui ne sont pas non plus susceptiblesd’«affectersensiblement la librecirculationdesdonnéesàcaractèrepersonnelauseindel’Union».Ils’agitavanttoutd’élémentsliésàlalégislationnationale,enparticulierlorsquel’obligation de réaliser une AIPD est prévue par celle-ci. En outre, toute opération detraitement liée au domaine répressif a été considérée comme hors cadre, puisqu’elle nerelèvepasduchampd’applicationduRGPD.
Lecomitéaremarquéqueplusieursautoritésdecontrôleontinclusdansleurslistescertainstypesdetraitementquisontnécessairementdestraitementslocaux.Étantdonnéqueseulslestraitementstransfrontaliersetlestraitementssusceptiblesd’affecterlalibrecirculationdesdonnéesàcaractèrepersonneletdespersonnesconcernéessontvisésparl’article35,paragraphe6,lecomiténes’exprimerapassurcestraitementslocaux.
Le présent avis a pour objectif de définir une base cohérente d’opérations de traitementrécurrentesdansleslistesfourniesparlesautoritésdecontrôle.
6
Ainsi, pour un nombre limité de types d’opérations de traitement, qui seront définis demanièreharmonisée,touteslesautoritésdecontrôleexigerontlaréalisationd’uneAIPD,etle comité recommandera à ces autorités demodifier leurs listes en conséquence afin degarantirlacohérence.
Sicertainesentréesdelalistesoumisenefontl’objetd’aucuncommentairedansleprésentavis,celasignifiequel’autoritédecontrôlegrecquenedoitrienfairedeplusàleurégard.
Enfin, le comité rappelle que la transparence est essentielle pour les responsables dutraitementetlessous-traitants.Afindeclarifierlesentréesdeslistes,lecomitéestimequel’ajout dans ces dernières d’une référence explicite aux critères définis dans les lignesdirectrices,pourchaquetypedetraitement,pourraitrenforcercettetransparence.Dèslors,lecomitéconsidèrequ’uneexplicationrelativeauxcritèresprisenconsidérationparl’autoritédecontrôlegrecquepourélaborersalistepourraitêtreajoutée.
2.2 Application du mécanisme de contrôle de la cohérence au projet de liste
Leprojetde listesoumispar l’autoritédecontrôlegrecqueest liéà l’offredebiensoudeservicesàdespersonnesconcernéesetausuivideleurcomportementdansplusieursÉtatsmembres et/ou peut affecter sensiblement la libre circulation des données à caractèrepersonnelauseinde l’Union,principalementparcequelesopérationsdetraitementquiyfigurentnesontpaslimitéesauxpersonnesconcernéesdupaysenquestion.
2.3 Analyse du projet de liste
Comptetenudufaitque:a. l’article35,paragraphe1,duRGPDrequiertuneAIPDlorsquel’activitédetraitement
estsusceptibled’engendrerunrisqueélevépourlesdroitsetlibertésdespersonnesphysiques;etque
b. l’article35, paragraphe3, du RGPD contient une liste non exhaustive de types detraitementpourlesquelsuneAIPDestrequise,
lecomitéémetlesobservationssuivantes.
REFERENCEAUXLIGNESDIRECTRICESLecomitéestimequel’analyseeffectuéeparlegroupedetravail«Article29»dansseslignesdirectricesWP248estunélémentclépourgarantirlacohérencedansl’ensembledel’Union.Dès lors, il demande aux différentes autorités de contrôle d’ajouter dans le documentcontenantleurlisteunementionindiquantquecelle-ciestfondéesurceslignesdirectricesetqu’ellelescomplèteetlesprécisedavantage.
Étantdonnéqueledocumentdel’autoritédecontrôlegrecquenecontientpasdementionàceteffet,lecomitérecommandeàcetteautoritédelemodifierenconséquence.
DONNEESBIOMETRIQUESSelonlalistesoumiseaucomitépouravisparl’autoritédecontrôlegrecque,letraitementdedonnées biométriques effectué aux fins d’identifier une personne physique de manière
7
unique,associéàaumoinsunautrecritère,requiertuneAIPD.Surcepoint,lecomitéprendnotedufaitquelalisterépondàl’objectifdecohérence.
DONNEESGENETIQUESSelonlalistesoumiseaucomitépouravisparl’autoritédecontrôlegrecque,letraitementdedonnéesgénétiques,associéàaumoinsunautrecritère,requiertuneAIPD.Lecomitéestimeque le traitement de données génétiques en soi n’est pas nécessairement susceptible deprésenter un risqueélevé.Néanmoins, le traitementdedonnées génétiques associé à aumoinsunautrecritèrenécessitelaréalisationd’uneAIPD.Lecomitéprendnotedel’inclusiondececritèredanslalistedel’autoritédecontrôlegrecque.
GRANDEECHELLELeRGPDnedéfinitpasprécisémentcequiconstitueuntraitementàgrandeéchelle.Dansleslignesdirectricesdugroupedetravail«Article29»concernant lesdéléguésà laprotectiondesdonnéeset l’AIPD,quiontété approuvéespar le comité, il est recommandéde tenircomptedeplusieursfacteursspécifiquespourdéterminersiuntraitementestmisenœuvreàgrandeéchelle.
Lecomitéestd’avisquecesfacteurssontsuffisantspourévaluersiletraitementdedonnéesàcaractèrepersonnelesteffectuéàgrandeéchelle.Parconséquent,lecomitédemandeàl’autoritédecontrôlegrecquedemodifiersalisteenconséquence,ensupprimantleschiffresprécisquiyfigurentetenfaisantréférenceauxdéfinitionssusmentionnéesdutraitementàgrandeéchelle.
TRAITEMENTADESFINSSCIENTIFIQUESOUHISTORIQUESSANSCONSENTEMENTLecomitéestimequeletraitementdedonnéesàcaractèrepersonnelàdesfinsscientifiquesou historiques en soi n’est pas nécessairement susceptible de présenter un risque élevé.Néanmoins, le traitement de données à caractère personnel à des fins scientifiques ouhistoriquesassociéàaumoinsunautrecritèrenécessite laréalisationd’uneAIPD.La listesoumise au comité pour avis par l’autorité de contrôle grecque prévoit que ce type detraitementassociéàaumoinsunautrecritèrerelèvedel’obligationderéaliseruneAIPD.Lecomitéprendnotedel’inclusiondececritèredanslaliste.
EXCEPTIONSAUXINFORMATIONSAFOURNIRALAPERSONNECONCERNEEPREVUESAL’ARTICLE14,PARAGRAPHE5,DURGPDLecomitéestimequelestypesd’activitésdetraitementquipourraientpriverlespersonnesconcernéesdeleursdroitsneprésententpasensoiunrisqueélevé.Dèslors,uneactivitédetraitementeffectuéeparleresponsabledutraitementautitredel’article14duRGPDetpourlaquellelesinformationsdevantêtrefourniesauxpersonnesconcernéesfontl’objetd’unedérogation en vertu de l’article14, paragraphe5, pointsb) àd), peut requérir une AIPDuniquementenassociationavecaumoinsunautrecritère.Lalistesoumiseaucomitépouravisparl’autoritédecontrôlegrecqueprévoitquecetypedetraitementassociéàaumoinsunautrecritèrerelèvedel’obligationderéaliseruneAIPD.Lecomitéprendnotedel’inclusiondececritèredanslaliste.
8
TRAITEMENTEFFECTUEAL’AIDED’UNIMPLANTLe comité estime que le traitement de données ne concernant pas la santé à l’aide d’unimplantnenécessitepasd’AIPDdanstouslescas.Actuellement,lalistesoumiseaucomitépouravisparl’autoritédecontrôlegrecqueneprécisepasqu’uneAIPDdoitêtreeffectuéepourletraitementdedonnéesconcernantlasantéàl’aided’unimplant.Dèslors,lecomitédemandeàl’autoritédecontrôlegrecquedemodifiersalisteenconséquence,enindiquantqueletraitementdedonnéesdesantéàl’aided’unimplantrequiertuneAIPDdanstouslescas.
3. Conclusions/recommandations Leprojetdelistedel’autoritédecontrôlegrecquepeutentraîneruneapplicationincohérentedel’exigencerelativeàlaréalisationd’uneAIPD,etlesmodificationssuivantesdoiventyêtreapportées:
• en ce qui concerne la référence aux lignes directrices: le comité recommande àl’autoritédecontrôlegrecquedemodifiersondocumentenconséquence;
• encequiconcerne lanotiondegrandeéchelle: lecomitédemandeà l’autoritédecontrôlegrecquedemodifiersalisteensupprimantleschiffresprécisquiyfigurentetenfaisantréférenceauxdéfinitionsdutraitementàgrandeéchellementionnéesdansles lignesdirectricesdugroupedetravail«Article29»concernant lesdéléguésà laprotectiondesdonnées(WP243)etl’AIPD(WP248);
• encequiconcerneletraitementeffectuéàl’aided’unimplant:lecomitédemandeàl’autoritédecontrôlegrecquedemodifiersalisteenindiquantqueseulletraitementdedonnéesdesantéàl’aided’unimplantrequiertuneAIPD.
4. Remarques finales Leprésentavisestadresséàl’autoritégrecquechargéedelaprotectiondesdonnées(autoritédecontrôlegrecque)etserapubliéconformémentàl’article64,paragraphe5,pointb),duRGPD.
Conformémentà l’article64,paragraphes7et8,duRGPD, l’autoritédecontrôledoit fairesavoirauprésidentducomitéparvoieélectronique,dansundélaidedeuxsemainessuivantlaréceptiondel’avis,siellemodifieraousiellemaintiendrasonprojetdeliste.Danslemêmedélai,elledoitfournirsonprojetdelistemodifiéou,siellen’apasl’intentiondesuivrel’avisducomité,entoutouenpartie,elledoitfournirlesmotifspertinentsjustifiantcechoix.
Pourlecomitéeuropéendelaprotectiondesdonnées
Laprésidente
9
(AndreaJelinek)