Lignes directrices du G29 sur le délégué à la protection des données

Le 13 décembre 2016, le G29 a publié ses lignes directrices relatives au délégué à la protection des données (DPO) afin de clarifier les règles posées par le règlement européen sur la protection des données, notamment à propos de sa désignation, de son rôle et de ses missions. À travers ces lignes directrices, le G29 encourage également la désignation d’un DPO en dehors des cas de désignation obligatoire prévus à l’article 37 du règlement, en ce qu’elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles au sein d’une entité.

Pour voir les lignes directrices (en anglais)

Publication des lignes directrices du G29 sur la portabilité des données

Le 13 décembre 2016, le G29 a adopté des lignes directrices concernant le nouveau droit à la portabilité des données instauré par l’article 20 du Règlement européen sur la protection des données personnelles. Ces lignes directrices visent à préciser ce que recouvre cette notion de portabilité, sur quelles données ce droit s’appliquera, de quelle manière il s’orchestrera avec le reste de la réglementation et comment il sera mis en œuvre. Ainsi, le G29 indique notamment que la portabilité devrait s’appliquer aux traitements de données réalisés par des moyens automatisés, en exécution d’un contrat ou pour lesquels la personne concernée aura fourni son consentement préalable. Les données visées correspondent aux informations que la personne aura fournies elle-même au responsable de traitement ou qu’elle aura générées par son activité. Jusqu’à la fin du mois de janvier 2017, il est possible de faire parvenir au G29 des commentaires à ce sujet.

Pour lire les lignes directrices du G29 (en anglais)

Nouvel accord de principe sur le transfert de données à caractère personnel entre la Commission européenne et les États-Unis

La Commission européenne a annoncé le 2 février 2016, avoir trouvé un accord politique avec les États-Unis sur la protection des données personnelles. Cet accord fait suite à l’annulation du Safe Harbor par la CJUE qui avait considéré que les États-Unis n’assuraient pas un niveau de protection suffisant des données personnelles transférées. Selon le communiqué, le nouvel accord intitulé EU-US Privacy Shield respecterait le niveau de protection exigé par la CJUE en imposant notamment des obligations renforcées aux entreprises américaines souhaitant utiliser des données personnelles provenant de l’Union Européenne. Les États-Unis s’engageraient également à ce que l’accès aux autorités publiques des données transférées soit limité et encadré. La Commission doit désormais élaborer un projet de décision qui devra être soumis pour avis au G29 et pour consultation à un comité composé de représentants des États membres.

Pour lire le communiqué de la Commission européenne (en anglais)

Invalidation du Safe Harbor : recommandations de la CNIL

A la suite de l’invalidation du Safe Harbor, la CNIL a publié le 19 novembre 2015 des recommandations pour les entreprises souhaitant transférer des données entre l’Union européenne et les Etats-Unis. Le G29 ayant appelé les institutions européennes à construire un nouveau cadre juridique permettant de réaliser de tels transferts avant le 31 janvier 2016, la CNIL conseille à ces entreprises, jusqu’à cette date, de recourir aux « Binding Corporate Rules » et aux « Clauses Contractuelles Types » adoptées par la Commission européenne.

Pour lire le communiqué de la CNIL

Avis du G29 suite à l’invalidation du Safe Harbor

A la suite de l’invalidation du Safe Harbor par la CJUE, le G29 s’est réuni le 15 octobre 2015 et a demandé aux gouvernements des Etats membres et aux institutions européennes d’engager des négociations avec les autorités américaines afin de trouver, avant le 31 janvier 2016, des moyens techniques, légaux et politiques permettant un transfert des données personnelles de l’Europe vers les Etats-Unis dans le respect des droits fondamentaux. Le G29 a annoncé poursuivre son analyse des impacts de la décision de la CJUE sur les autres outils de transfert de données personnelles, comme les clauses contractuelles types ou les BCR, et a rappelé qu’en attendant les résultats de cette analyse, ces outils pouvaient être utilisés. Le G29 a également rappelé qu’en tout état de cause, les transferts de données qui seraient encore opérés sur le fondement du Safe Harbor sont illégaux.

Pour lire la déclaration (en anglais) du G29

Cookies sweep day : bilan du G29

Le 3 février 2015, le G29 a fait le bilan de l’audit en ligne de sites internet européens que huit autorités européennes de protection des données ont mené entre le 15 et le 19 septembre 2014. L’objectif était de dresser un état des lieux des pratiques en matière de cookies, notamment au regard de l’article 5§3 de la directive 2002/58 dite “vie privée et communications électroniques”, telle que modifiée par la directive du 25 novembre 2009. Ainsi, 478 sites de e-commerce, de médias et du secteur public ont été étudiés, et 16 555 cookies identifiés. L’audit a mis en exergue les différences de pratiques selon les trois secteurs et selon les Etats, et a permis de soulever certains points problématiques, notamment la durée de conservation parfois extrêmement longue de certains cookies. Il a aussi permis de constater que 70% des cookies utilisés par les acteurs étudiés étaient des cookies tiers.

Pour lire le rapport du G29 (en anglais)

Droit au déréférencement : adoption de lignes directrices par le G29

Le 26 novembre 2014, le G29, qui réunit les autorités européennes de protection des données personnelles, a adopté des lignes directrices sur le droit au déréférencement par les moteurs de recherche, comprenant une interprétation de l’arrêt de la CJUE "Google Spain" ainsi que des critères communs "pour l'instruction des plaintes adressées aux autorités suite au refus de déréférencement par les moteurs de recherche". Suite à cela, la CNIL a publié les critères de déréférencement qu’elle applique sous forme de questions/réponses, portant notamment sur la minorité du plaignant ou l’exactitude de l’information référencée, étant précisé que cette liste n’est pas exhaustive et sera amenée à évoluer en fonction de l’expérience acquise.

 Pour lire le communiqué de la CNIL

Avis du G29 sur les objets connectés

Le 16 septembre 2014, le groupe des CNIL européennes (G29) a émis un avis sur "l’Internet des objets". Le G29 rappelle d’abord que les objets connectés collectent et traitent des données à caractère personnel au sens de la directive européenne 95/46/CE, et qu’à ce titre le droit européen en la matière leur est applicable. Il liste ensuite les défis concrets auxquels sont confrontés les différents acteurs et y répond par des recommandations pratiques. Il indique notamment dans ce cadre les droits et obligations des acteurs et utilisateurs des objets connectés.

Pour lire l’avis du G29 (en anglais)

Avis du G29 sur les techniques d’anonymisation de données

Le 10 avril 2014, le G29 réunissant les « CNIL » européennes a rendu un avis relatif aux techniques d’anonymisation des données à caractère personnel. Dans son avis, le G29 rappelle que toute technique d’anonymisation doit être construite au cas par cas et adaptée aux types de traitements de données. Afin d’évaluer l’efficacité d’une technique d’anonymisation, le G29 préconise de procéder en trois étapes. Il vérifie (i) qu’il est impossible d’isoler un individu à partir de l’ensemble de données, (ii) qu’il est impossible de relier entre eux des ensembles de données distincts concernant un même individu, (iii) qu’il est impossible de procéder par déduction pour obtenir de l’information sur un individu. Si ces trois critères sont remplis, le G29 considère que l’ensemble de données est bien anonyme. Si au moins un des critères n’est pas rempli, une analyse détaillée des risques de ré-identification sera nécessaire pour juger de l'efficacité de la technique d'anonymisation.

Pour lire l’avis du G29 sur Europa.eu

Google Glass : demande d’informations

Tel qu’annoncé dans une lettre adressée au président de Google et relayée le 18 juin 2013 par la CNIL, une initiative mondiale de coopération a été lancée par l’autorité de protection canadienne, le G29 et certaines autorités membres de l’APEC. Ces dernières ont fait part de leurs inquiétudes concernant le projet Glass de développement de lunettes à réalité augmentée par Google. Les autorités de contrôle de protection des données cherchent à obtenir des informations sur le fonctionnement de ces lunettes et leur conformité avec les lois de protection des données personnelles.

Pour lire la lettre sur le site de la CNIL