COMMUNICATION – COMMERCE ÉLECTRONIQUE – REVUE MENSUELLE LEXISNEXIS JURISCLASSEUR – JUIN 2017
Commentaires
Projet de lignes directrices du G29
Consécration du rôle central des études d’impact sur la vie privée
Le G29 a adopté le 4 avril 2017 un projet de lignes directrices sur la réalisation d’études d’impact sur la vie privée (EIVP). La réalisation de telles études constitue l’une des mesures phares du règlement général relatif à la protection des données pour assurer la conformité des traitements de données à caractère personnel. Toutefois, beaucoup d’incertitudes demeurent sur les cas où la réalisation d’une EIVP sera obligatoire, ainsi que sur la méthodologie à employer. Le projet de lignes directrices, qui est ouvert à consultation par le G29 jusqu’au 23 mai 2017, tente d’apporter des réponses aux questions qui se posent sur la mise en oeuvre concrète de l’obligation.
Note : 1. – Le Groupe de l’article 29 (Groupe de travail sur la protection des données instaurées par l’article 29 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : JOCE n° L 281, 23 nov. 1995, p. 31, ci-après « G29 ») a publié le 4 avril 2017 un projet de lignes directrices sur la réalisation d’études d’impact sur la vie privée (« analyses d’impact sur la protection des données à caractère personnel ou, en anglais, « Data Protection Impact Assessment », disponible uniquement en anglais, ci-après « EIVP »), dont la réalisation est prévue par l’article 35 du Règlement général relatif à la protection des données personnelles (PE et Cons. UE, règl. (UE) 2016/ 679 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE [règlement général sur la protection des données] : JOUE n° L 119, 4 mai 2016, p. 1, ci-après « RGPD »). La notion d’EIVP n’est pas définie dans le RGPD. Aussi, le projet de lignes directrices s’attache à identifier la nature de l’EIVP par une analyse de ses objectifs, à développer les cas où elle sera rendue obligatoire et à préciser les éléments méthodologiques à appliquer.
2. – En premier lieu, la réalisation d’une EIVP doit permettre au responsable de traitement d’identifier les garanties (« mesures appropriées ») à mettre en oeuvre afin d’assurer la conformité du traitement (RGPD, cons. 84). Cet objectif qui est ainsi fixé à l’EIVP concrétise l’abandon d’une approche assez formaliste de la conformité donnant une part trop importante aux formalités préalables, au profit d’une approche par les risques, reposant sur une analyse approfondie des conséquences du traitement pour les droits et libertés des personnes et l’adoption de mesures, garanties et autres mécanismes destinés à atténuer les risques.Une telle approche avait d’ailleurs été promue par la CNIL pour l’utilisation de la technologie RFID (V. sur le rôle joué par la CNIL, au sein du G29, pour la promotion de la réalisation d’évaluations de l’impact sur la protection des données de l’utilisation de cette technologie RFID :A.Danis-Fatôme, inA. Debet, J. Massot,N. Metallinos, Informatique et Libertés, La protection des données à caractère personnel en droit français et européen : Lextenso éditions, 2015, spéc. n° 2976 analysant l’avis duG29 sur le RFID : Groupe de l’article 29, Avis 9/2011 sur la proposition révisée des entreprises relatives au cadre d’évaluation de l’impact sur la protection des données et de la vie privée des applications reposant sur l’identification par radiofréquence (RFID) adopté le 11 février 2011,WP180), alors que la loi Informatique et Libertés ne soumet les traitements utilisant cette technologie qu’à un simple régime de déclaration et non d’autorisation préalable.
Télécharger l’intégralité du commentaire au format PDF
COMMUNICATION – COMMERCE ÉLECTRONIQUE – REVUE MENSUELLE LEXISNEXIS JURISCLASSEUR – JUIN 2017
Le mensuel dédié à la propriété intellectuelle, aux droits des réseaux et des médias.
Auteurs : Christophe Caron, Éric A. Caprioli, Anne Debet, Agathe Lepage, Grégoire Loiseau, Olivier de Mattos, Nathalie Metallinos, Florence Meuris