Il existe un nombre important de situations où des entités recourent à des traitements de données transfrontaliers intra groupe ou avec des entités affiliés (ex. franchises). Dans le cas de plainte des personnes concernées ou de violation de données personnelles (= data breach), une autorité de contrôle chef de file (= Lead Supervisory Authority) sera désignée. Cette dernière aura la responsabilité de coordonner l’action entre les différentes autorités impliquées, ainsi que de travailler avec elles à l’élaboration d’une décision qui fera consensus. Ces décisions sont alors publiées, résumées et compilées dans un registre dédié, disponible sur le site internet du Comité Européen de la Protection des Données (= European Data Protection Board).[1] Ces décisions peuvent résulter en sanction, classement sans suite, constatation de non-violation ou ordonnance de mise en conformité.
Pour rappel, l’art 4 .16) énonce que le droit d’établissement principal détermine la compétence territoriale de l’autorité de contrôle. Cependant, l’autorité chef de file sera celle du pays dans le lequel la prise de décision concernant le traitement transfrontalier sera effectuée (= établissement qui a le pouvoir de prendre et d’appliquer les décisions du groupe. Cela signifie que le lieu de l’administration centrale de l’organisme ne sera pas automatiquement celui de l’autorité de contrôle chef de file.
Des tendances fortes
De manière générale, les décisions relatives aux traitements transfrontaliers concernent plusieurs articles du RGPD, et non un seul. Sur les 110 décisions recensées par l’EDPB, il est ainsi possible d’observer qu’une écrasante majorité d’entre elles concerne les principes relatifs à la protection des données personnelles (article 5) qui compte 63 décisions ainsi que les différents droits des personnes concernées (articles 15 à 22) qui en compte 62. De surcroît les plaintes relatives à la sécurité des données sont au cœur de 26 décisions. Cela met en lumière le fait que les Etats membres ont à cœur de rappeler et s’accorder sur l’importance de ces principes « fondamentaux » à la protection des données, mais aussi que les individus ont de plus en plus conscience de leurs droits et sont prêts à les faire respecter particulièrement les droits d’accès, à l’effacement et d’opposition.
Des absences notables
Il est aussi pertinent de noter que parmi ces décisions, aucune n’est relative au registre des activités de traitement, aux transferts de données hors UE, les relations entre responsable de traitement et sous-traitant ou à des catégories particulières de données (dites sensibles). Les obligations qui découlent de ces articles ont soit été comprises par les responsables de traitement, soit ces informations sont difficilement accessibles aux personnes concernées (notamment les registres ou politiques internes) ne faisant alors pas l’objet de plainte ou nécessitant un audit motivé (ou non) de la part d’une autorité. De plus, aucune décision n’est relative aux droits à la portabilité des données, la limitation du traitement ou concernant les décisions automatisées. Cette absence pourrait être expliquée par la mise en application complexe, et résiduelle n’ayant pas encore été clairement définie par les autorités de contrôle ou l’EDPB. Il s’agirait alors d’identifier les cas de figure pour lesquels ces droits pourraient être exercés.
La sécurité des données personnelles toujours au cœur des débats
Les mesures techniques et organisationnelles doivent être identifiées au préalable par les organes décideur au sein de l’organisme afin de prévenir des violations. Ces mesures représentent 40% des décisions relatives à la sécurité des données personnelles. Il peut alors s’agir de mauvaise application ou choix des procédures mais aussi de mauvais réglages techniques. Les mesures techniques et organisationnelles découlent de décisions d’origine interne.
Les violations, qui représentent 32% des décisions relatives à la sécurité, découlent d’une mauvaise gestion des risques ou de leur mauvaise anticipation. En effet le RGPD possède une approche très concrète, par les risques. Il faut donc pouvoir anticiper, évaluer gérer et si nécessaire, notifier les violations.
Les décisions concernant les notifications (28% des décisions relatives à la sécurité), émanent généralement de l’autorité, à la suite d’une violation de données personnelles. Il s’agit alors d’inspection ou contrôle, qui mis à part pour une décision, résultent en non-violation ou classement sans suite. Il semblerait donc que les entités aient bien assimilé leur obligation de notification.
Conclusion
Le registre des
décisions conformément au principe du guichet unique mettent en lumière les
éléments primaires concernant la Protection des données personnelles. En effet,
il se concentre sur la théorie et le juridique avec les principes relatifs à la
protection des données mais aussi la pratique avec l’exercice des droits des
personnes concernées et la sécurité des données. Néanmoins, il ne s’agit ici
que de décisions relatives aux deux premières années d’application du RGPD. Il
faut de ce fait attendre un nombre plus important de décision future, relevant
de sujets plus spécifiques tels que les relations entre responsable de
traitement et sous-traitants, le rôle et les responsabilités du DPO. Enfin, il
risque fortement d’émerger d’ici quelques années des questions et
problématiques concernant la protection des données dès la conception et par
défaut, notamment faisant suite à la crise sanitaire actuelle et des solutions
mise rapidement en place pour essayer d’y remédier. Il est indéniable que le volume
et la variété des décisions à venir ne fera que croître, afin d’étoffer et
préciser les règles de la protection des données personnelles.
[1] Le registre est disponible ici : https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-article-60-final-decisions_en