Decideo - Actualités sur le Big Data, Business Intelligence, Data Science

Abonnez-vous gratuitement à Decideo !


Decideo

 


RGPD : après deux années d'application, l'AFCDP réagit au premier bilan de la Commission européenne


Rédigé par Communiqué de l'AFCDP le 30 Juin 2020

La Commission européenne a publié le 24 juin 2020 son rapport sur les deux premières années d'application du RGPD. Un bilan positif, mais mitigé, qui suscite des commentaires de la part de l'AFCDP, l'association des DPO de France, chargés de la protection des données personnelles.



Point de vue de l'AFCDP

Les Délégués à la protection des données et les professionnels de la protection des données membres de l'AFCDP partagent globalement le constat de la Commission européenne.

L'AFCDP confirme en particulier que la connaissance et la prise en compte du RGPD ont fortement progressé dans les organisations. En outre, l'augmentation des interactions avec les DPD/DPO, en particulier pour l'exercice des droits d'accès ou d'opposition, confirme que les particuliers ont également compris l'importance de la protection de leurs données personnelles et de l'intérêt que présente le RGPD pour y contribuer.

Toutefois, les DPD/DPO observent dans leur pratique quotidienne que la promesse d'une réglementation uniforme dans l'ensemble des États membres est largement battue en brèche par des dispositions locales diverses, voire divergentes, qu'il s'agisse de dispositions législatives permises par le RGPD, ou de positions individuelles des autorités de contrôle.

Par exemple, sur la question sensible des cookies et autres traceurs, la CNIL et certaines des 26 autres autorités ont édicté des recommandations qui ne sont pas cohérentes entre elles, ce qui conduit les DPD/DPO confrontés à des activités multinationales, à devoir prendre en compte une multitude de préconisations difficiles à concilier entre elles.

D'autre part, l'AFCDP remarque avec étonnement que le bilan établi par la Commission ne fait à aucun moment mention du Délégué à la protection des données, dont la création et les missions sont pourtant parmi les points les plus notables du RGPD.

Par ailleurs, l'AFCDP ne partage pas la satisfaction de la Commission à l'égard du droit à la portabilité des données, censé mettre les individus « au centre de l'économie de la donnée en leur permettant de changer de fournisseur de services ». Manifestement mal défini, ce droit est le plus souvent détourné de son esprit et utilisé à des fins discutables., par exemple pour la collecte en temps réel des transactions des consommateurs dans la grande distribution.

Enfin, l'AFCDP a bien entendu que l'évaluation du RGPD entreprise par la Commission ne devrait pas conduire à une proposition de révision du texte avant 2024. L'AFCDP regrette que cette démarche ne permette pas de résoudre à court terme un certain nombre de difficultés qu'elle a détectées dans l'application opérationnelle du Règlement, en raison d'imprécisions ou de manque de clarté dans le texte du RGPD. Elle rappelle que ces difficultés techniques portent en particulier sur une douzaine de points pour lesquels elle avait proposé des formulations propres à être intégrées dans une révision du Règlement.

Annexe : douze propositions de correction ou d'évolution du RGPD

Les propositions de correction ou d'évolution du RGPD proposées par l'AFCDP portent sur les points suivants :

- l'incertitude sur l'obligation de tenir un registre pour les petites et moyennes entreprises dans les cas où le traitement « n'est pas occasionnel », compte tenu de l'imprécision de cette formulation, selon les termes de l'article 30(5) ;

- le manque de réalisme de l'obligation de notification d'une violation de données « si possible 72 heures » après sa découverte, selon l'article 33 ;

- l'imprécision de l'article 33(2) qui laisse penser, à tort, qu'il appartient au sous-traitant de qualifier si un incident est une violation de données et qui ne comporte aucun délai maximum de notification du sous-traitant au responsable de traitement ;

- le souhait de préciser à l'article 34, que la notification d'une violation de données aux personnes a pour objectif de leur donner la possibilité de se protéger ;

- la nécessité de préciser, à l'article 35(7), qu'en cas d'analyse d'impact sur la protection des données (AIPD) les risques résiduels pèsent explicitement sur le responsable de traitement ;

- le manque de clarté, à l'article 36, de la définition des cas où les risques identifiés par une AIPD rendent obligatoire la consultation de l'autorité de contrôle ;

- le souhait qu'en cas de consultation de l'autorité de contrôle à l'issue d'une AIPD, le silence de l'autorité de contrôle après le délai légal signifie que son avis est réputé favorable ;

- la nécessité de clarifier la notion d'intérêt légitime pour les autorités publiques dans le cas des traitements effectués pour leur propre compte, en dehors de l'exécution de leurs missions ;

- le besoin d'enrichir l'article 38 pour préciser que bien qu'il soit soumis au secret professionnel, le DPD/DPO ne peut accéder à certains types de données, comme celles qui sont couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou par le secret médical.

- l'absence de définition de « transfert de données hors UE », notion large qui donne lieu à plusieurs situations distinctes (transfert vers un pays dit « adéquat », vers les États-Unis, ou vers un pays tiers n'ayant fait l'objet d'aucune décision d'adéquation) ;
- la nécessité de clarifier la relation entre traitement et finalité, pour la définition du fondement légal ;

- la nécessité d'homogénéiser en Europe le traitement des demandes d'exercice des droits présentées par un mandataire, dont la pratique actuelle fait courir le risque de satisfaire un droit (par exemple accès aux données) au bénéfice d'une personne différente de la personne concernée.

Pour toutes ces questions, l'AFCDP avait proposé des formulations propres à être intégrées dans une révision du RGPD.




Nouveau commentaire :
Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.