Lignes directrices du G29 sur le profilage et les décisions individuelles automatisées

Le 6 février 2018, le G29 a adopté la version révisée de ses lignes directrices sur le profilage et les décisions individuelles automatisées, dont le régime est prévu par l’article 22 du RGPD. En distinguant les notions de “profilage”, “décision fondée sur le profilage” et “décision exclusivement automatisée produisant des effets juridiques ou d’importance similaire”, le G29 précise que le régime prévu par l’article 22 du RGPD s’applique exclusivement à ce dernier type de décision. Le G29 aborde également la question de la publicité ciblée en ligne, qui pourrait dans certains cas être soumise à cet article.

Pour lire les lignes directrices du G29 (en anglais)

Lignes directrices du G29 sur les notifications de violations de données personnelles

Le 6 février 2018, le G29 a adopté ses lignes directrices sur l’obligation de notification des violations de données à caractère personnel prévue aux articles 33 et 34 du RGPD. Le G29 a clarifié la notion de violation de données en distinguant trois catégories de violation : la violation de la confidentialité, celle de l’intégrité et celle de la disponibilité des données. Le G29 a également précisé que la prise de connaissance de la violation par le responsable de traitement, constituant le point de départ du délai pour notifier, devrait être établie dès lors qu’il présente un “degré raisonnable de certitude qu’un incident compromettant les données personnelles a eu lieu”.

Pour lire les lignes directrices du G29 (en anglais)

Lignes directrices du G29 relatives à l’analyse d’impact

Le 4 avril 2017, le G29 a publié ses lignes directrices sur l’analyse d’impact relative à la protection des données personnelles (AIPD), obligation prévue par l’article 35 du Règlement général sur la protection des données personnelles (RGPD). Ces AIPD consistent à décrire un traitement, évaluer la nécessité de sa mise en œuvre et sa proportionnalité, et aider à la gestion des risques d’atteinte aux droits et libertés des personnes physiques concernées. A ce titre, les AIPD doivent être mises en œuvre préalablement à tout traitement qui présenterait un risque élevé d’atteinte à ces droits et libertés. Elles ne devront être mises en œuvre que pour les traitements initiés postérieurement à l’entrée en application du RGPD – soit le 25 mai 2018 –, mais le G29 recommande malgré tout de les mettre en œuvre également pour les traitements actuellement en cours. Dans ces lignes directrices, le G29 précise notamment quels sont les traitements susceptibles de faire l’objet d’une AIPD et selon quelles modalités.

Pour lire les lignes directrices du G29 (en anglais)

Compte-rendu des activités du G29 à la plénière d’avril 2017

Le 10 avril 2017 la CNIL a publié un communiqué de presse relatif aux travaux du G29 sur les outils de mise en œuvre du règlement général sur la protection des données. A cette occasion, la CNIL a informé que le G29 avait adopté “une version définitive de ses premières lignes directrices à destination des professionnels sur la portabilité des données, les délégués à la protection des données et l’autorité chef de fil, ainsi qu’une première version de lignes directrices sur les études d’impact vie privée qui sera soumise à consultation publique jusqu’au 19 mai”. En outre, le G29 s’est penché sur le “Bouclier de confidentialité” liant l’Union européenne et les Etats-Unis, et notamment sur l’évaluation des garanties apportées par les autorités américaines.

Pour lire le communiqué de presse de la CNIL

Lignes directrices du G29 sur le délégué à la protection des données

Le 13 décembre 2016, le G29 a publié ses lignes directrices relatives au délégué à la protection des données (DPO) afin de clarifier les règles posées par le règlement européen sur la protection des données, notamment à propos de sa désignation, de son rôle et de ses missions. À travers ces lignes directrices, le G29 encourage également la désignation d’un DPO en dehors des cas de désignation obligatoire prévus à l’article 37 du règlement, en ce qu’elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles au sein d’une entité.

Pour voir les lignes directrices (en anglais)

Publication des lignes directrices du G29 sur la portabilité des données

Le 13 décembre 2016, le G29 a adopté des lignes directrices concernant le nouveau droit à la portabilité des données instauré par l’article 20 du Règlement européen sur la protection des données personnelles. Ces lignes directrices visent à préciser ce que recouvre cette notion de portabilité, sur quelles données ce droit s’appliquera, de quelle manière il s’orchestrera avec le reste de la réglementation et comment il sera mis en œuvre. Ainsi, le G29 indique notamment que la portabilité devrait s’appliquer aux traitements de données réalisés par des moyens automatisés, en exécution d’un contrat ou pour lesquels la personne concernée aura fourni son consentement préalable. Les données visées correspondent aux informations que la personne aura fournies elle-même au responsable de traitement ou qu’elle aura générées par son activité. Jusqu’à la fin du mois de janvier 2017, il est possible de faire parvenir au G29 des commentaires à ce sujet.

Pour lire les lignes directrices du G29 (en anglais)

Nouvel accord de principe sur le transfert de données à caractère personnel entre la Commission européenne et les États-Unis

La Commission européenne a annoncé le 2 février 2016, avoir trouvé un accord politique avec les États-Unis sur la protection des données personnelles. Cet accord fait suite à l’annulation du Safe Harbor par la CJUE qui avait considéré que les États-Unis n’assuraient pas un niveau de protection suffisant des données personnelles transférées. Selon le communiqué, le nouvel accord intitulé EU-US Privacy Shield respecterait le niveau de protection exigé par la CJUE en imposant notamment des obligations renforcées aux entreprises américaines souhaitant utiliser des données personnelles provenant de l’Union Européenne. Les États-Unis s’engageraient également à ce que l’accès aux autorités publiques des données transférées soit limité et encadré. La Commission doit désormais élaborer un projet de décision qui devra être soumis pour avis au G29 et pour consultation à un comité composé de représentants des États membres.

Pour lire le communiqué de la Commission européenne (en anglais)

Invalidation du Safe Harbor : recommandations de la CNIL

A la suite de l’invalidation du Safe Harbor, la CNIL a publié le 19 novembre 2015 des recommandations pour les entreprises souhaitant transférer des données entre l’Union européenne et les Etats-Unis. Le G29 ayant appelé les institutions européennes à construire un nouveau cadre juridique permettant de réaliser de tels transferts avant le 31 janvier 2016, la CNIL conseille à ces entreprises, jusqu’à cette date, de recourir aux « Binding Corporate Rules » et aux « Clauses Contractuelles Types » adoptées par la Commission européenne.

Pour lire le communiqué de la CNIL

Avis du G29 suite à l’invalidation du Safe Harbor

A la suite de l’invalidation du Safe Harbor par la CJUE, le G29 s’est réuni le 15 octobre 2015 et a demandé aux gouvernements des Etats membres et aux institutions européennes d’engager des négociations avec les autorités américaines afin de trouver, avant le 31 janvier 2016, des moyens techniques, légaux et politiques permettant un transfert des données personnelles de l’Europe vers les Etats-Unis dans le respect des droits fondamentaux. Le G29 a annoncé poursuivre son analyse des impacts de la décision de la CJUE sur les autres outils de transfert de données personnelles, comme les clauses contractuelles types ou les BCR, et a rappelé qu’en attendant les résultats de cette analyse, ces outils pouvaient être utilisés. Le G29 a également rappelé qu’en tout état de cause, les transferts de données qui seraient encore opérés sur le fondement du Safe Harbor sont illégaux.

Pour lire la déclaration (en anglais) du G29

Cookies sweep day : bilan du G29

Le 3 février 2015, le G29 a fait le bilan de l’audit en ligne de sites internet européens que huit autorités européennes de protection des données ont mené entre le 15 et le 19 septembre 2014. L’objectif était de dresser un état des lieux des pratiques en matière de cookies, notamment au regard de l’article 5§3 de la directive 2002/58 dite “vie privée et communications électroniques”, telle que modifiée par la directive du 25 novembre 2009. Ainsi, 478 sites de e-commerce, de médias et du secteur public ont été étudiés, et 16 555 cookies identifiés. L’audit a mis en exergue les différences de pratiques selon les trois secteurs et selon les Etats, et a permis de soulever certains points problématiques, notamment la durée de conservation parfois extrêmement longue de certains cookies. Il a aussi permis de constater que 70% des cookies utilisés par les acteurs étudiés étaient des cookies tiers.

Pour lire le rapport du G29 (en anglais)