3 minute read
Quelles nouveautés pour le RGPD ?
from Paperjam mai 2023
Depuis 2018, le règlement général sur la protection des données (« RGPD ») n’a pas connu de changement. La jurisprudence, la doctrine et les autorités nationales et européennes le font toutefois évoluer.
Mieux connaître le rôle du DPO
Le délégué à la protection des données (DPO) est crucial. En tant que collaborateur interne, avocat ou consultant spécialisé, il guide et conseille toute entité privée ou publique dans la mise en oeuvre de la conformité RGPD et explique les obligations à respecter. « L’EDPB/ CEPD (le Comité européen de la protection des données) a récemment lancé une action coordonnée au niveau européen pour permettre aux autorités d’effectuer un ‘benchmark’ sur le rôle donné par les sociétés aux DPO et vérifier qu’il est exercé de manière adéquate. Ces autorités, comme la CNPD, peuvent interroger les entités et récoltent des informations pour établir un rapport de bonnes pratiques. Des sanctions sont aussi attendues », expliquent Audrey Rustichelli et Nicolas Hamblenne, respectivement Partner et Counsel au sein du département Technologies & IP.
Un accord sur les transferts internationaux de données
Si le transfert de données ne connaît pas de restrictions au sein de l’Espace économique européen, il n’en est pas de même lorsqu’une entité qui héberge ou utilise des données à caractère personnel se trouve hors Europe. Des solutions juridiques sont prévues dans le RGPD. Une liste blanche établie par la Commission européenne regroupe des pays ayant un niveau de protection similaire aux États européens et vers lesquels le transfert est jugé suffisamment sûr. En pratique, certains pays ont une législation permettant au gouvernement d’accéder aux données à caractère personnel qui ne sont plus protégées. Un accord entre les États-Unis et l’Europe est en discussion pour sécuriser les transferts et faciliter la vie des entreprises. Dans l’intervalle (et pour les autres pays ne se trouvant pas sur la liste blanche), une analyse spécifique est requise pour déterminer si des risques existent eu égard au transfert envisagé.
IA et protection des données
Les sociétés proposant des services d’IA sont soumises au RGPD. Elles doivent donc aussi respecter le cadre juridique qui va également s’élargir avec le futur règlement européen sur l’intelligence artificielle. L’EDPB a décidé de créer un groupe de travail à ce sujet car plusieurs autorités de protection des données s’interrogent sur ces services.
Distinguer cookies et RGPD
Depuis la mise en place du RGPD, il existe une confusion avec l’application des cookies. Nombreux utilisateurs pensent que les règles entourant ces derniers sont issues du RGPD. Elles viennent en fait de la directive ePrivacy qui exige d’informer les utilisateurs de l’usage des cookies et de demander leur accord. « La principale nouveauté concerne l’application des règles du RGPD à cette notion de consentement. Il doit être libre, spécifique, éclairé et univoque. Les autorités sont aussi plus attentives aux interfaces truquées qui à travers le design forcent cette approbation », explique Audrey
Rustichelli, Deputy Managing Partner
.
Gérer la fuite des données L’EDPB vient de mettre à jour les lignes directrices dans ce domaine. Une entité située en dehors de l’UE et assujettie au RGPD est tenue de nommer un représentant sur le territoire européen. En cas de fuite de données, elle devait en principe avertir uniquement l’autorité du pays où se trouvait ce représentant. Désormais, chaque autorité de protection des données concernée doit être informée dans un délai de 72 h. Or, chaque autorité dispose d’un formulaire distinct et plusieurs autorités peuvent coexister dans un même pays.
De nombreux défis pour les entreprises
Pour les entités, les problématiques sont multiples.
« Face aux évolutions de la jurisprudence et l’apparition de nouvelles réglementations, nous les aidons à garder un oeil attentif via notre service de veille juridique, des newsletters, séminaires, etc.
Concernant les transferts internationaux, nous menons une analyse d’impact et examinons la législation dans le pays cible pour garantir une protection adéquate. »
Certaines sont également obligées de nommer un DPO parce qu’elles sont publiques, traitent des données sensibles ou réalisent le suivi de personnes à grande échelle. D’autres le font de manière volontaire. Un choix s’impose alors : le nommer en interne ou externaliser.
« Nous proposons une assistance au DPO en place ou jouons ce rôle ce qui permet d’éviter les conflits d’intérêt », conclut Nicolas Hamblenne.
Agenda Des Actions Et Nouvelles R Gles
Avril 2023
L’EDPB a mis en place une action coordonnée sur le territoire européen pour faire davantage connaître les missions du DPO à travers des enquêtes.
Avril 2023
Création par l’EDPB d’un groupe de travail pour garantir la protection des données des services d’IA et harmoniser les règles sur leur usage.
Projet d’accord entre l’UE et les États-Unis permettra aux entités européennes voulant échanger des données avec les États-Unis de le faire de manière sécurisée.
