Avis7/2018

surleprojetdelisteétabliparl’autoritédecontrôlecompétentedelaGrèce

concernant

lesopérationsdetraitementpourlesquellesuneanalysed’impactrelativeàlaprotectiondesdonnéesestrequise(article35,paragraphe4,duRGPD)

adoptéle25septembre2018

2

Tabledesmatières

1. Résumédesfaits..............................................................................................................5

2. Évaluation.........................................................................................................................5

2.1 Raisonnementgénéraldel’EDPBconcernantlalistesoumise..................................5

2.2 Applicationdumécanismedecontrôledelacohérenceauprojetdeliste...............6

2.3 Analyseduprojetdeliste..........................................................................................6

Référenceauxlignesdirectrices.......................................................................................6

Donnéesbiométriques.....................................................................................................6

Donnéesgénétiques.........................................................................................................7

Grandeéchelle.................................................................................................................7

Traitementàdesfinsscientifiquesouhistoriquessansconsentement...........................7

Exceptionsaux informationsà fournir à lapersonneconcernéeprévuesà l’article14,paragraphe5,duRGPD....................................................................................................7

Traitementeffectuéàl’aided’unimplant.......................................................................8

3. Conclusions/recommandations........................................................................................8

4. Remarquesfinales............................................................................................................8

3

Lecomitéeuropéendelaprotectiondesdonnées,

vu l’article63, l’article64, paragraphe1, pointa), l’article64, paragraphes3 à8, etl’article35,paragraphes1,3,4et6,durèglement(UE)2016/679duParlementeuropéenetdu Conseil du 27avril2016 relatif à la protection des personnes physiques à l’égard dutraitementdesdonnées à caractèrepersonnel et à la libre circulationde cesdonnées, etabrogeantladirective95/46/CE(ci-aprèsle«RGPD»),

vu l’accord sur l’Espace économique européen, et notamment son annexeXI et sonprotocole37, tels quemodifiés par la décision du Comitémixte de l’EEE nº154/2018 du6juillet2018,

vulesarticles10et22desonrèglementintérieurdu25mai2018,

considérantcequisuit:

(1)Lamission principale du comité est de veiller à l’application cohérente du RGPD dansl’ensembledel’Espaceéconomiqueeuropéen.Conformémentàl’article64,paragraphe1,duRGPD, le comité doit émettre un avis chaque fois qu’une autorité de contrôle envisaged’adopterunelisted’opérationsdetraitementpourlesquellesuneanalysed’impactrelativeàlaprotectiondesdonnéesdoitêtreeffectuéeenapplicationdel’article35,paragraphe4,duRGPD.L’objectifduprésentavisestdèslorsdemettreaupointuneapprocheharmoniséeconcernantlesactivitésdetraitementquisonttransfrontalièresouquipeuventaffecterlalibrecirculationdesdonnéesàcaractèrepersonneloudespersonnesphysiquesauseindel’Union européenne. Bien que le RGPD n’impose pas de liste unique, il encourage lacohérence. Le comité poursuit cet objectif de cohérence dans ses avis, premièrement endemandantauxautoritésdecontrôled’inclurecertainstypesdetraitementdansleurslistes,deuxièmementenleurdemandantdesupprimercertainscritèresqui,selonlui,n’engendrentpasnécessairementdesrisquesélevéspourlespersonnesconcernées,ettroisièmementenleurdemandantd’utilisercertainscritèresdemanièreharmonisée.

(2)Conformément à l’article35, paragraphes4 et6, du RGPD, les autorités de contrôlecompétentesdoiventétablirdeslistesdestypesd’opérationsdetraitementpourlesquellesuneanalysed’impactrelativeàlaprotectiondesdonnées(ci-aprèsl’«AIPD»)estrequise.Ellesdoivent cependantappliquer lemécanismedecontrôlede la cohérence lorsqueces listescomprennent des opérations de traitement liées à l’offre de biens ou de services à despersonnesconcernéesouausuivideleurcomportementdansplusieursÉtatsmembres,oupeuventaffectersensiblementlalibrecirculationdesdonnéesàcaractèrepersonnelauseindel’Union.

(3)Silesprojetsdelistedesautoritésdecontrôlecompétentessontsoumisaumécanismede contrôle de la cohérence, cela ne signifie pas pour autant que ces listes doivent êtreidentiques.Lesautoritésdecontrôlecompétentesdisposentd’unemarged’appréciationen

4

cequiconcernelecontextenationalourégionaletdoiventtenircomptedeleurlégislationlocale.L’objectifdel’évaluation/avisducomitéeuropéendelaprotectiondesdonnées(ci-après l’«EDPB») n’est pas d’établir une liste unique pour l’Union,mais plutôt d’éviter lesincohérences significatives qui pourraient porter atteinte à la protection équivalente despersonnesconcernées.

(4)Conformément à l’article35, paragraphe1, du RGPD, la réalisation d’une AIPD par leresponsable du traitement n’est obligatoire que lorsque le traitement «est susceptibled’engendrerunrisqueélevépourlesdroitsetlibertésdespersonnesphysiques».L’article35,paragraphe3, du RGPD contient des exemples de cas susceptibles d’engendrer un risqueélevé. Cette liste n’est pas exhaustive. Dans ses lignes directrices concernant l’analysed’impactrelativeàlaprotectiondesdonnées1,tellesqu’approuvéesparl’EDPB2,legroupedetravail «Article29» a défini des critères permettant de déterminer les opérations detraitementpour lesquellesuneAIPDestobligatoire.Selonles lignesdirectricesWP248dugroupede travail «Article29»,dans laplupartdes cas, le responsabledu traitementpeutconsidérerqu’untraitementsatisfaisantàdeuxcritèresnécessiteuneAIPD;néanmoins,danscertainscas, leresponsabledutraitementpeutconsidérerquemêmesisontraitementnesatisfaitqu’àunseuldecescritères,ilrequiertmalgrétoutuneAIPD.

(5)Leslistesélaboréesparlesautoritésdecontrôlecompétentesvisentlemêmeobjectif,àsavoirdéterminerlesopérationsdetraitementquisontsusceptiblesd’engendrerunrisqueélevéetqui,dèslors,requièrentuneAIPD.Parconséquent,ilconvientd’appliquerlescritèresétablisdansleslignesdirectricesdugroupedetravail«Article29»aumomentd’évaluersilesprojets de liste des autorités de contrôle compétentes ne portent pas atteinte à uneapplicationcohérenteduRGPD.

(6)Vingt-deuxautoritésdecontrôlecompétentesontsoumisleursprojetsdelisteàl’EDPB.Uneévaluationglobaledecesprojetsdelistesoutientl’objectifd’applicationcohérenteduRGPDendépitdelacomplexitécroissantedelaquestion.

(7)L’avisdel’EDPBdoitêtreadoptéconformémentàl’article64,paragraphe3,duRGPD,enliaisonavecl’article10,paragraphe2,durèglementintérieurdel’EDPB,dansundélaidehuitsemainesàcompterdupremierjourouvrableaprèsqueleprésidentducomitéetl’autoritédecontrôlecompétenteontdécidéqueledossierétaitcomplet.Surdécisionduprésident,cedélaipeutêtreprolongédesixsemainesenfonctiondelacomplexitédelaquestion,

AADOPTÉLEPRÉSENTAVIS:

1Groupede travail «Article29», lignesdirectrices concernant l’analysed’impact relative à la protectiondesdonnées(AIPD)etlamanièrededéterminersiletraitementest«susceptibled’engendrerunrisqueélevé»auxfinsdurèglement(UE)2016/679(WP248rév.01).2EDPB,Endorsement1/2018.

5

1. Résumé des faits L’autorité grecque chargée de la protection des données (ci-après l’«autorité de contrôlegrecque»)asoumissonprojetdelisteàl’EDPB.Ladécisionrelativeaucaractèrecompletdudossieraétéprisele10juillet2018.Lapériodeautermedelaquellel’avisdevaitêtreadoptéaétéprolongéejusqu’au25septembrecomptetenudelacomplexitédelaquestion,étantdonnéquevingt-deuxautoritésdecontrôlecompétentesavaientsoumisleursprojetsdelisteenmêmetemps,rendantuneévaluationglobalenécessaire.

2. Évaluation 2.1 Raisonnement général de l’EDPB concernant la liste soumise

Toute liste soumise à l’EDPB a été interprétée comme précisant davantage l’article35,paragraphe1, qui prévaut en tout état de cause. Dès lors, aucune liste ne saurait êtreexhaustive.

Conformémentàl’article35,paragraphe10,duRGPD,lecomitéestimeque,siuneAIPDadéjàétéeffectuéedanslecadred’uneanalysed’impactgénéraleréaliséedanslecadredel’adoptionde labase juridique, l’obligationdeprocéderàuneAIPDautitrede l’article35,paragraphes1à7,duRGPDnes’appliquepas,àmoinsquel’Étatmembren’estimequ’unetelleAIPDestnécessaire.

Enoutre,silecomitédemandeuneAIPDpourunecertainecatégoriedetraitementetqu’unemesureéquivalenteestdéjàrequiseparlalégislationnationale,ilyalieuquel’autoritédecontrôlegrecqueajouteuneréférenceàcettemesure.

Leprésentavisneportepassurlesélémentssoumisparl’autoritédecontrôlegrecquequiont été considérés comme ne relevant pas du champ d’application de l’article35,paragraphe6,duRGPD,àsavoirlesélémentsquinesontpasliés«àl’offredebiensoudeservices à des personnes concernées» dans plusieurs États membres ni au suivi de leurcomportement dans plusieurs États membres et qui ne sont pas non plus susceptiblesd’«affectersensiblement la librecirculationdesdonnéesàcaractèrepersonnelauseindel’Union».Ils’agitavanttoutd’élémentsliésàlalégislationnationale,enparticulierlorsquel’obligation de réaliser une AIPD est prévue par celle-ci. En outre, toute opération detraitement liée au domaine répressif a été considérée comme hors cadre, puisqu’elle nerelèvepasduchampd’applicationduRGPD.

Lecomitéaremarquéqueplusieursautoritésdecontrôleontinclusdansleurslistescertainstypesdetraitementquisontnécessairementdestraitementslocaux.Étantdonnéqueseulslestraitementstransfrontaliersetlestraitementssusceptiblesd’affecterlalibrecirculationdesdonnéesàcaractèrepersonneletdespersonnesconcernéessontvisésparl’article35,paragraphe6,lecomiténes’exprimerapassurcestraitementslocaux.

Le présent avis a pour objectif de définir une base cohérente d’opérations de traitementrécurrentesdansleslistesfourniesparlesautoritésdecontrôle.

6

Ainsi, pour un nombre limité de types d’opérations de traitement, qui seront définis demanièreharmonisée,touteslesautoritésdecontrôleexigerontlaréalisationd’uneAIPD,etle comité recommandera à ces autorités demodifier leurs listes en conséquence afin degarantirlacohérence.

Sicertainesentréesdelalistesoumisenefontl’objetd’aucuncommentairedansleprésentavis,celasignifiequel’autoritédecontrôlegrecquenedoitrienfairedeplusàleurégard.

Enfin, le comité rappelle que la transparence est essentielle pour les responsables dutraitementetlessous-traitants.Afindeclarifierlesentréesdeslistes,lecomitéestimequel’ajout dans ces dernières d’une référence explicite aux critères définis dans les lignesdirectrices,pourchaquetypedetraitement,pourraitrenforcercettetransparence.Dèslors,lecomitéconsidèrequ’uneexplicationrelativeauxcritèresprisenconsidérationparl’autoritédecontrôlegrecquepourélaborersalistepourraitêtreajoutée.

2.2 Application du mécanisme de contrôle de la cohérence au projet de liste

Leprojetde listesoumispar l’autoritédecontrôlegrecqueest liéà l’offredebiensoudeservicesàdespersonnesconcernéesetausuivideleurcomportementdansplusieursÉtatsmembres et/ou peut affecter sensiblement la libre circulation des données à caractèrepersonnelauseinde l’Union,principalementparcequelesopérationsdetraitementquiyfigurentnesontpaslimitéesauxpersonnesconcernéesdupaysenquestion.

2.3 Analyse du projet de liste

Comptetenudufaitque:a. l’article35,paragraphe1,duRGPDrequiertuneAIPDlorsquel’activitédetraitement

estsusceptibled’engendrerunrisqueélevépourlesdroitsetlibertésdespersonnesphysiques;etque

b. l’article35, paragraphe3, du RGPD contient une liste non exhaustive de types detraitementpourlesquelsuneAIPDestrequise,

lecomitéémetlesobservationssuivantes.

REFERENCEAUXLIGNESDIRECTRICESLecomitéestimequel’analyseeffectuéeparlegroupedetravail«Article29»dansseslignesdirectricesWP248estunélémentclépourgarantirlacohérencedansl’ensembledel’Union.Dès lors, il demande aux différentes autorités de contrôle d’ajouter dans le documentcontenantleurlisteunementionindiquantquecelle-ciestfondéesurceslignesdirectricesetqu’ellelescomplèteetlesprécisedavantage.

Étantdonnéqueledocumentdel’autoritédecontrôlegrecquenecontientpasdementionàceteffet,lecomitérecommandeàcetteautoritédelemodifierenconséquence.

DONNEESBIOMETRIQUESSelonlalistesoumiseaucomitépouravisparl’autoritédecontrôlegrecque,letraitementdedonnées biométriques effectué aux fins d’identifier une personne physique de manière

7

unique,associéàaumoinsunautrecritère,requiertuneAIPD.Surcepoint,lecomitéprendnotedufaitquelalisterépondàl’objectifdecohérence.

DONNEESGENETIQUESSelonlalistesoumiseaucomitépouravisparl’autoritédecontrôlegrecque,letraitementdedonnéesgénétiques,associéàaumoinsunautrecritère,requiertuneAIPD.Lecomitéestimeque le traitement de données génétiques en soi n’est pas nécessairement susceptible deprésenter un risqueélevé.Néanmoins, le traitementdedonnées génétiques associé à aumoinsunautrecritèrenécessitelaréalisationd’uneAIPD.Lecomitéprendnotedel’inclusiondececritèredanslalistedel’autoritédecontrôlegrecque.

GRANDEECHELLELeRGPDnedéfinitpasprécisémentcequiconstitueuntraitementàgrandeéchelle.Dansleslignesdirectricesdugroupedetravail«Article29»concernant lesdéléguésà laprotectiondesdonnéeset l’AIPD,quiontété approuvéespar le comité, il est recommandéde tenircomptedeplusieursfacteursspécifiquespourdéterminersiuntraitementestmisenœuvreàgrandeéchelle.

Lecomitéestd’avisquecesfacteurssontsuffisantspourévaluersiletraitementdedonnéesàcaractèrepersonnelesteffectuéàgrandeéchelle.Parconséquent,lecomitédemandeàl’autoritédecontrôlegrecquedemodifiersalisteenconséquence,ensupprimantleschiffresprécisquiyfigurentetenfaisantréférenceauxdéfinitionssusmentionnéesdutraitementàgrandeéchelle.

TRAITEMENTADESFINSSCIENTIFIQUESOUHISTORIQUESSANSCONSENTEMENTLecomitéestimequeletraitementdedonnéesàcaractèrepersonnelàdesfinsscientifiquesou historiques en soi n’est pas nécessairement susceptible de présenter un risque élevé.Néanmoins, le traitement de données à caractère personnel à des fins scientifiques ouhistoriquesassociéàaumoinsunautrecritèrenécessite laréalisationd’uneAIPD.La listesoumise au comité pour avis par l’autorité de contrôle grecque prévoit que ce type detraitementassociéàaumoinsunautrecritèrerelèvedel’obligationderéaliseruneAIPD.Lecomitéprendnotedel’inclusiondececritèredanslaliste.

EXCEPTIONSAUXINFORMATIONSAFOURNIRALAPERSONNECONCERNEEPREVUESAL’ARTICLE14,PARAGRAPHE5,DURGPDLecomitéestimequelestypesd’activitésdetraitementquipourraientpriverlespersonnesconcernéesdeleursdroitsneprésententpasensoiunrisqueélevé.Dèslors,uneactivitédetraitementeffectuéeparleresponsabledutraitementautitredel’article14duRGPDetpourlaquellelesinformationsdevantêtrefourniesauxpersonnesconcernéesfontl’objetd’unedérogation en vertu de l’article14, paragraphe5, pointsb) àd), peut requérir une AIPDuniquementenassociationavecaumoinsunautrecritère.Lalistesoumiseaucomitépouravisparl’autoritédecontrôlegrecqueprévoitquecetypedetraitementassociéàaumoinsunautrecritèrerelèvedel’obligationderéaliseruneAIPD.Lecomitéprendnotedel’inclusiondececritèredanslaliste.

8

TRAITEMENTEFFECTUEAL’AIDED’UNIMPLANTLe comité estime que le traitement de données ne concernant pas la santé à l’aide d’unimplantnenécessitepasd’AIPDdanstouslescas.Actuellement,lalistesoumiseaucomitépouravisparl’autoritédecontrôlegrecqueneprécisepasqu’uneAIPDdoitêtreeffectuéepourletraitementdedonnéesconcernantlasantéàl’aided’unimplant.Dèslors,lecomitédemandeàl’autoritédecontrôlegrecquedemodifiersalisteenconséquence,enindiquantqueletraitementdedonnéesdesantéàl’aided’unimplantrequiertuneAIPDdanstouslescas.

3. Conclusions/recommandations Leprojetdelistedel’autoritédecontrôlegrecquepeutentraîneruneapplicationincohérentedel’exigencerelativeàlaréalisationd’uneAIPD,etlesmodificationssuivantesdoiventyêtreapportées:

• en ce qui concerne la référence aux lignes directrices: le comité recommande àl’autoritédecontrôlegrecquedemodifiersondocumentenconséquence;

• encequiconcerne lanotiondegrandeéchelle: lecomitédemandeà l’autoritédecontrôlegrecquedemodifiersalisteensupprimantleschiffresprécisquiyfigurentetenfaisantréférenceauxdéfinitionsdutraitementàgrandeéchellementionnéesdansles lignesdirectricesdugroupedetravail«Article29»concernant lesdéléguésà laprotectiondesdonnées(WP243)etl’AIPD(WP248);

• encequiconcerneletraitementeffectuéàl’aided’unimplant:lecomitédemandeàl’autoritédecontrôlegrecquedemodifiersalisteenindiquantqueseulletraitementdedonnéesdesantéàl’aided’unimplantrequiertuneAIPD.

4. Remarques finales Leprésentavisestadresséàl’autoritégrecquechargéedelaprotectiondesdonnées(autoritédecontrôlegrecque)etserapubliéconformémentàl’article64,paragraphe5,pointb),duRGPD.

Conformémentà l’article64,paragraphes7et8,duRGPD, l’autoritédecontrôledoit fairesavoirauprésidentducomitéparvoieélectronique,dansundélaidedeuxsemainessuivantlaréceptiondel’avis,siellemodifieraousiellemaintiendrasonprojetdeliste.Danslemêmedélai,elledoitfournirsonprojetdelistemodifiéou,siellen’apasl’intentiondesuivrel’avisducomité,entoutouenpartie,elledoitfournirlesmotifspertinentsjustifiantcechoix.

Pourlecomitéeuropéendelaprotectiondesdonnées

Laprésidente

9

(AndreaJelinek)