CNIL/CEPD : projet de lignes directrices sur les notions de responsable du traitement et de sous-traitant

Le Comité Européen de la Protection des Données (EDPB) est un organe européen indépendant qui contribue à l’application cohérente des règles en matière de protection des données au sein de l’Union européenne et encourage la coopération entre autorités de l’UE chargées de la protection des données.

Le comité européen de la protection des données se compose de représentants des autorités nationales chargées de la protection des données et du Contrôleur européen de la protection des données (CEPD). S’ajoutent les autorités de contrôle des États de l’AELE-EEE en ce qui concerne les questions liées au RGPD, mais sans droit de vote et sans possibilité de se présenter aux élections pour la présidence ou vice-présidence. Le comité européen de la protection des données est institué par le règlement général sur la protection des données (RGPD), et son siège se situe à Bruxelles. La Commission européenne et – pour ce qui est des questions liées au RGPD – l’Autorité de surveillance AELE ont le droit de participer aux activités et réunions du comité sans droit de vote.

Le 2 septembre 2020, le CEPD a adopté des premières lignes directrices sur les notions de responsable du traitement et de sous-traitant, essentielles à la bonne compréhension et application du RGPD. Une consultation publique est maintenant ouverte jusqu’au 19 octobre 2020 pour recueillir les avis et contributions de toutes les parties prenantes intéressées.

Les notions de responsable du traitement et de sous-traitant jouent un rôle crucial dans l’application du RGPD : elles déterminent en particulier qui est responsable du respect des règles en matière de protection des données et comment les personnes concernées peuvent exercer leurs droits de manière effective. Le RGPD a précisé ces notions par rapport à l’état du doit antérieur et a en outre prévu de nouvelles obligations pesant sur ces acteurs.

Ces dispositions, ainsi que des récents arrêts de la Cour de justice de l’Union européenne ayant trait à la responsabilité conjointe sur des traitements de données, soulèvent de nombreuses questions de la part des organismes concernés : sur la définition et la portée de la responsabilité conjointe, sur les obligations respectives de ces « co-responsables de traitement », sur la nature exacte des obligations qui pèsent sur les sous-traitants, etc.

Il est donc primordial que la signification précise de ces notions et leurs critères soient suffisamment clairs et harmonisés au sein de l’Union européenne. C’est pourquoi le CEPD, qui regroupe les CNIL européennes, a estimé nécessaire d’adopter de nouvelles lignes directrices, qui ont vocation à remplacer l’avis précédent du groupe de travail « Article 29 » sur ces notions (WP169). Ce document vise ainsi à clarifier la définition des notions de responsable du traitement, de responsable conjoint, de sous-traitant, de tiers et de destinataire des données, en les illustrant par des exemples sectoriels concrets. Il vise également à détailler les différentes obligations qui s’attachent à ces qualifications.

La CNIL encourage toute personne intéressée à contribuer à la consultation publique organisée par le CEPD.

À l’issue de cette consultation et après analyse des contributions reçues, la version finale des lignes directrices pourra être adoptée par le CEPD. La CNIL proposera un résumé de celles-ci sur son site web afin de permettre aux différents acteurs des traitements de données à caractère personnel de mieux remplir les obligations qui leur incombent en application du RGPD. Ces rappels et recommandations permettront ainsi de préciser et de compléter les conseils que la CNIL met déjà à disposition de ces acteurs, comme par exemple en matière de sous-traitance.

Les modalités de participation à la consultation
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_fr

Lignes directrices destinées aux responsables de traitement et aux sous-traitants – version pour consultation publique
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf

Virginie Gastine Menou
RISQUES ET VOUS

“Un accompagnement personnalisé sur le chemin complexe de la conformité”


https://www.linkedin.com/company/risques-et-vous

Partagez l’article sur les réseaux !

Articles récents :

Nomination – Elena Sokolovskaya

Risk & Fraud | Payments | Fintech LinkedIn Proposer une offre de job : https://graces.community/recruteurs/Consulter les offres qui vous correspondent : https://job.graces.community/login

fr_FRFrançais
fr_FRFrançais en_USEnglish es_ESEspañol