Accueil > Publications > Nos articles
Publications - Nos articles
RGPD : Derniers développements
Hélène Lebon

Focus de notre équipe data protection, pilotée par Hélène LEBON.

A l’occasion d’interventions qui se sont déroulées au cours des dernières semaines, la CNIL ainsi que d’autres autorités ont communiqué des informations intéressantes sur les suites de l’entrée en application du RGPD.

-  Les décisions d’adéquation (prévues par l’article 45 du RGPD)

Sur la question de la reconnaissance d’adéquation de pays tiers à l’Union Européenne, les prochains pays qui seront reconnus comme offrant un niveau de protection adéquat sont le Japon et la Corée du Sud. Lors d’une conférence qui s’est tenue à Cambridge, le représentant de la Commission européenne a également indiqué que les décisions d’adéquation adoptées préalablement au RGPD seront revues et modifiées à l’avenir.

-  Le consentement

Tant la CNIL que certaines de ses homologues, comme l’autorité anglaise, ont insisté sur le fait que le consentement des personnes concernées n’est pas la réponse absolue et que l’article 6 du RGPD prévoit d’autres bases légales aux traitements de données à caractère personnel comme l’intérêt légitime du responsable de traitement ou l’existence d’un contrat.

Il a été rappelé à cette occasion que le considérant 47 du RGPD indique clairement que « (…) Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime. »

-  Responsable de traitement/sous-traitant

Lors d’une réunion qui s’est tenue le 21 juin 2018, les représentants de la CNIL ont indiqué qu’ils étaient conscients des difficultés liées à la qualification de responsable de traitement et de sous-traitant. Ils ont rappelé que les définitions de ces notions n’ont pas été changées par le RGPD, en conséquence, si les modalités de traitement restent inchangées, il n’y a aucune raison de modifier la qualification juridique des parties, si la qualification existante était exacte.

Il a également été précisé que la qualification juridique devait s’opérer sur le traitement et non pas sur la prestation sous-traitée, et que la qualification devait s’effectuer traitement par traitement.

La CNIL a précisé que ni elle ni le juge ne sont liés par la qualification juridique des parties figurant dans le contrat, et qu’il est donc tout à fait possible que la CNIL ou le juge procède à une requalification à l’occasion d’une réclamation ou d’un contentieux.

La CNIL a indiqué être informée des tensions entre certains responsables de traitement et leurs sous-traitants. La CNIL considère que si le responsable de traitement ne parvient pas à obtenir ce qu’il souhaite, il doit envisager la possibilité de changer de sous-traitant. Elle est également au courant des difficultés avec certains sous-traitants qui souhaitent imposer leurs modèles de contrat. Elle a conseillé aux responsables qui ne se considèrent pas suffisamment « puissants » pour pouvoir négocier avec leurs sous-traitants de se regrouper et/ou de se retourner vers les organisations sectorielles.

La CNIL a indiqué que le modèle de contrat entre un responsable de traitement et un sous-traitant n’a pas nécessairement à être repris en intégralité, certains passages qui ne sont pas adaptés aux relations entre les parties peuvent être supprimés. Il a également été indiqué qu’une nouvelle version serait diffusée prochainement afin de prendre en compte certaines contraintes sectorielles.

-  L’autorité chef de file

La CNIL a mis en ligne de nouveaux formulaires, comme le formulaire de désignation de la CNIL en qualité d’autorité chef de file. Il a toutefois été précisé, lors d’une intervention récente, que cette désignation n’est pas obligatoire. En effet, une telle désignation n’est, à ce jour, prévue par aucun texte.

Il convient à cet égard de préciser que la question de l’autorité chef de file se pose uniquement pour les traitements transnationaux. Ainsi, les organismes qui n’ont aucun traitement transnational n’ont pas à se poser la question.

La question ne se pose pas non pour les filiales de groupes multinationaux qui mettent en œuvre des traitements au niveau local, comme un contrôle d’accès sur un site, ou l’organisation d’un jeu-concours en France, etc…

-  Réclamations et notifications de violation de données

La représentante de la CNIL lors de la conférence Privacy, Laws & Business qui s’est tenue à Cambridge du 2 au 4 juillet derniers a indiqué que la CNIL avait reçu 1000 réclamations et 320 notifications de violations de données depuis l’entrée en application du RGPD.

-   Analyses d’impact

La CNIL a rédigé sa liste des traitements qui devront faire l’objet d’une analyse d’impact et la liste des traitements qui ne seront pas soumis à analyse d’impact conformément aux dispositions de l’article 35.4 et 35.5. Ces listes ont été adressées à l’EDPB et devraient être publiées après l’été.

-  Décret d’application

Pour terminer, un décret d’application de la loi du 20 juin dernier sera publié prochainement, la CNIL ayant rendu son avis à la fin du mois de juin.

-  Contrôles aux Pays-Bas

Notre correspondant Terralex aux Pays-Bas, le cabinet Kennedy Van der Laan, nous a informé que l’autorité de protection des données Néerlandaise va procéder à une mission de contrôles des registres de traitement d’une trentaine d’entreprises néerlandaises afin de vérifier qu’elles tiennent bien le registre des traitements prévu par l’article 30 du RGPD.

 

Lien vers le site de notre partenaire des Pays-Bas, le cabinet Kennedy Van der Laan : https://kvdl.com/en/

Viadeo Partager
PDGB avocats - 174 avenue Victor Hugo - 75116 Paris - Tél. : 33 (0)1 44 05 21 21 - Fax : 33 (0)1 44 05 21 00 - Plan du site