Point de vue de l'AFCDP
Les Délégués à la protection des données et les professionnels de la protection des données membres de l'AFCDP partagent globalement le constat de la Commission européenne.
L'AFCDP confirme en particulier que la connaissance et la prise en compte du RGPD ont fortement progressé dans les organisations. En outre, l'augmentation des interactions avec les DPD/DPO, en particulier pour l'exercice des droits d'accès ou d'opposition, confirme que les particuliers ont également compris l'importance de la protection de leurs données personnelles et de l'intérêt que présente le RGPD pour y contribuer.
Toutefois, les DPD/DPO observent dans leur pratique quotidienne que la promesse d'une réglementation uniforme dans l'ensemble des États membres est largement battue en brèche par des dispositions locales diverses, voire divergentes, qu'il s'agisse de dispositions législatives permises par le RGPD, ou de positions individuelles des autorités de contrôle.
Par exemple, sur la question sensible des cookies et autres traceurs, la CNIL et certaines des 26 autres autorités ont édicté des recommandations qui ne sont pas cohérentes entre elles, ce qui conduit les DPD/DPO confrontés à des activités multinationales, à devoir prendre en compte une multitude de préconisations difficiles à concilier entre elles.
D'autre part, l'AFCDP remarque avec étonnement que le bilan établi par la Commission ne fait à aucun moment mention du Délégué à la protection des données, dont la création et les missions sont pourtant parmi les points les plus notables du RGPD.
Par ailleurs, l'AFCDP ne partage pas la satisfaction de la Commission à l'égard du droit à la portabilité des données, censé mettre les individus « au centre de l'économie de la donnée en leur permettant de changer de fournisseur de services ». Manifestement mal défini, ce droit est le plus souvent détourné de son esprit et utilisé à des fins discutables., par exemple pour la collecte en temps réel des transactions des consommateurs dans la grande distribution.
Enfin, l'AFCDP a bien entendu que l'évaluation du RGPD entreprise par la Commission ne devrait pas conduire à une proposition de révision du texte avant 2024. L'AFCDP regrette que cette démarche ne permette pas de résoudre à court terme un certain nombre de difficultés qu'elle a détectées dans l'application opérationnelle du Règlement, en raison d'imprécisions ou de manque de clarté dans le texte du RGPD. Elle rappelle que ces difficultés techniques portent en particulier sur une douzaine de points pour lesquels elle avait proposé des formulations propres à être intégrées dans une révision du Règlement.
Annexe : douze propositions de correction ou d'évolution du RGPD
Les propositions de correction ou d'évolution du RGPD proposées par l'AFCDP portent sur les points suivants :
- l'incertitude sur l'obligation de tenir un registre pour les petites et moyennes entreprises dans les cas où le traitement « n'est pas occasionnel », compte tenu de l'imprécision de cette formulation, selon les termes de l'article 30(5) ;
- le manque de réalisme de l'obligation de notification d'une violation de données « si possible 72 heures » après sa découverte, selon l'article 33 ;
- l'imprécision de l'article 33(2) qui laisse penser, à tort, qu'il appartient au sous-traitant de qualifier si un incident est une violation de données et qui ne comporte aucun délai maximum de notification du sous-traitant au responsable de traitement ;
- le souhait de préciser à l'article 34, que la notification d'une violation de données aux personnes a pour objectif de leur donner la possibilité de se protéger ;
- la nécessité de préciser, à l'article 35(7), qu'en cas d'analyse d'impact sur la protection des données (AIPD) les risques résiduels pèsent explicitement sur le responsable de traitement ;
- le manque de clarté, à l'article 36, de la définition des cas où les risques identifiés par une AIPD rendent obligatoire la consultation de l'autorité de contrôle ;
- le souhait qu'en cas de consultation de l'autorité de contrôle à l'issue d'une AIPD, le silence de l'autorité de contrôle après le délai légal signifie que son avis est réputé favorable ;
- la nécessité de clarifier la notion d'intérêt légitime pour les autorités publiques dans le cas des traitements effectués pour leur propre compte, en dehors de l'exécution de leurs missions ;
- le besoin d'enrichir l'article 38 pour préciser que bien qu'il soit soumis au secret professionnel, le DPD/DPO ne peut accéder à certains types de données, comme celles qui sont couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou par le secret médical.
- l'absence de définition de « transfert de données hors UE », notion large qui donne lieu à plusieurs situations distinctes (transfert vers un pays dit « adéquat », vers les États-Unis, ou vers un pays tiers n'ayant fait l'objet d'aucune décision d'adéquation) ;
- la nécessité de clarifier la relation entre traitement et finalité, pour la définition du fondement légal ;
- la nécessité d'homogénéiser en Europe le traitement des demandes d'exercice des droits présentées par un mandataire, dont la pratique actuelle fait courir le risque de satisfaire un droit (par exemple accès aux données) au bénéfice d'une personne différente de la personne concernée.
Pour toutes ces questions, l'AFCDP avait proposé des formulations propres à être intégrées dans une révision du RGPD.
L'AFCDP confirme en particulier que la connaissance et la prise en compte du RGPD ont fortement progressé dans les organisations. En outre, l'augmentation des interactions avec les DPD/DPO, en particulier pour l'exercice des droits d'accès ou d'opposition, confirme que les particuliers ont également compris l'importance de la protection de leurs données personnelles et de l'intérêt que présente le RGPD pour y contribuer.
Toutefois, les DPD/DPO observent dans leur pratique quotidienne que la promesse d'une réglementation uniforme dans l'ensemble des États membres est largement battue en brèche par des dispositions locales diverses, voire divergentes, qu'il s'agisse de dispositions législatives permises par le RGPD, ou de positions individuelles des autorités de contrôle.
Par exemple, sur la question sensible des cookies et autres traceurs, la CNIL et certaines des 26 autres autorités ont édicté des recommandations qui ne sont pas cohérentes entre elles, ce qui conduit les DPD/DPO confrontés à des activités multinationales, à devoir prendre en compte une multitude de préconisations difficiles à concilier entre elles.
D'autre part, l'AFCDP remarque avec étonnement que le bilan établi par la Commission ne fait à aucun moment mention du Délégué à la protection des données, dont la création et les missions sont pourtant parmi les points les plus notables du RGPD.
Par ailleurs, l'AFCDP ne partage pas la satisfaction de la Commission à l'égard du droit à la portabilité des données, censé mettre les individus « au centre de l'économie de la donnée en leur permettant de changer de fournisseur de services ». Manifestement mal défini, ce droit est le plus souvent détourné de son esprit et utilisé à des fins discutables., par exemple pour la collecte en temps réel des transactions des consommateurs dans la grande distribution.
Enfin, l'AFCDP a bien entendu que l'évaluation du RGPD entreprise par la Commission ne devrait pas conduire à une proposition de révision du texte avant 2024. L'AFCDP regrette que cette démarche ne permette pas de résoudre à court terme un certain nombre de difficultés qu'elle a détectées dans l'application opérationnelle du Règlement, en raison d'imprécisions ou de manque de clarté dans le texte du RGPD. Elle rappelle que ces difficultés techniques portent en particulier sur une douzaine de points pour lesquels elle avait proposé des formulations propres à être intégrées dans une révision du Règlement.
Annexe : douze propositions de correction ou d'évolution du RGPD
Les propositions de correction ou d'évolution du RGPD proposées par l'AFCDP portent sur les points suivants :
- l'incertitude sur l'obligation de tenir un registre pour les petites et moyennes entreprises dans les cas où le traitement « n'est pas occasionnel », compte tenu de l'imprécision de cette formulation, selon les termes de l'article 30(5) ;
- le manque de réalisme de l'obligation de notification d'une violation de données « si possible 72 heures » après sa découverte, selon l'article 33 ;
- l'imprécision de l'article 33(2) qui laisse penser, à tort, qu'il appartient au sous-traitant de qualifier si un incident est une violation de données et qui ne comporte aucun délai maximum de notification du sous-traitant au responsable de traitement ;
- le souhait de préciser à l'article 34, que la notification d'une violation de données aux personnes a pour objectif de leur donner la possibilité de se protéger ;
- la nécessité de préciser, à l'article 35(7), qu'en cas d'analyse d'impact sur la protection des données (AIPD) les risques résiduels pèsent explicitement sur le responsable de traitement ;
- le manque de clarté, à l'article 36, de la définition des cas où les risques identifiés par une AIPD rendent obligatoire la consultation de l'autorité de contrôle ;
- le souhait qu'en cas de consultation de l'autorité de contrôle à l'issue d'une AIPD, le silence de l'autorité de contrôle après le délai légal signifie que son avis est réputé favorable ;
- la nécessité de clarifier la notion d'intérêt légitime pour les autorités publiques dans le cas des traitements effectués pour leur propre compte, en dehors de l'exécution de leurs missions ;
- le besoin d'enrichir l'article 38 pour préciser que bien qu'il soit soumis au secret professionnel, le DPD/DPO ne peut accéder à certains types de données, comme celles qui sont couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou par le secret médical.
- l'absence de définition de « transfert de données hors UE », notion large qui donne lieu à plusieurs situations distinctes (transfert vers un pays dit « adéquat », vers les États-Unis, ou vers un pays tiers n'ayant fait l'objet d'aucune décision d'adéquation) ;
- la nécessité de clarifier la relation entre traitement et finalité, pour la définition du fondement légal ;
- la nécessité d'homogénéiser en Europe le traitement des demandes d'exercice des droits présentées par un mandataire, dont la pratique actuelle fait courir le risque de satisfaire un droit (par exemple accès aux données) au bénéfice d'une personne différente de la personne concernée.
Pour toutes ces questions, l'AFCDP avait proposé des formulations propres à être intégrées dans une révision du RGPD.
Autres articles
-
Protection des données : 67% des DPO se sentent concernés par l'IA Act
-
Data Legal Drive révolutionne la conformité RGPD avec l’IA
-
La fonction de Délégué/déléguée à la Protection des Données (DPD/DPO) ne devrait-elle pas collaborer avec la fonction RSE ?
-
5 ANS DU RGPD : Les 5 temps forts selon les DPO
-
L’AFCDP poursuit son engagement pour accompagner les DPO dans leur quotidien
