CEPD : une déclaration sur le futur règlement contre les abus sexuels sur mineur et une clarification de la notion d’établissement principal
Le 14 février 2024, lors de sa séance plénière, le Comité européen de la protection des données (CEPD) a adopté une déclaration concernant la proposition de règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants et un avis clarifiant la notion d’établissement principal.
Protection des enfants : une déclaration sur la proposition de règlement
Le CEPD a adopté ce 14 février une déclaration concernant la proposition de règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants.
Cette déclaration fait suite à l’avis conjoint du Comité et du Contrôleur européens de la protection des données sur la proposition de règlement et se concentre sur les derniers développements législatifs. Conscient de l’importance de la lutte contre les abus sexuels sur enfants en ligne, le CEPD prend note des nombreuses améliorations apportées par le compromis du Parlement européen, telles que l’exemption des communications chiffrées de bout-en-bout des injonctions de détection.
Il constate cependant que des difficultés subsistent. En particulier, la proposition de règlement ne devrait pas porter une atteinte excessive au respect de la vie privée, en permettant la surveillance indiscriminée des communications privées. En l’état, la portée des injonctions de détection est trop générale et n’offre aucune garantie quant au fait qu’elles viseront uniquement les personnes susceptibles d’être impliquées dans la transmission de matériel pédopornographique.
Le CEPD appelle ainsi les co-législateurs à s'assurer que tout nouveau texte sur ce sujet respecte pleinement les droits fondamentaux à la protection des données et au respect de la vie privée.
Depuis cet avis, la présidence belge du Conseil de l’UE a indiqué qu’elle présentera le 1ᵉʳ mars sa nouvelle approche pour obtenir un mandat de négociation avec le Parlement intégrant notamment, des propositions sur le ciblage des injonctions de surveillance.
Une clarification de la notion d’établissement principal
Le 10 octobre 2023, la CNIL a sollicité l’avis du Comité européen de protection de protection des données (CEPD) sur la notion d’établissement principal du responsable de traitement telle que définie à l’article 4.16.a du RGPD et, plus particulièrement, sur celle d’administration centrale, ainsi que sur les conséquences à en tirer sur l’application du guichet unique.
Dans son avis du 13 février 2024, le CEPD indique que l’administration centrale ne peut être considérée comme établissement principal que si cette entité :
- prend les décisions quant aux finalités (objectifs) et aux moyens du traitement de données personnelles en cause ;
- dispose du pouvoir de faire appliquer ces décisions.
Ainsi, lorsque le responsable de traitement est localisé dans un État situé en dehors de l’UE et qu’aucun établissement au sein de l’Union européenne, y compris son administration centrale, ne dispose du pouvoir décisionnel sur les finalités et les moyens du traitement, il n’y a pas d’établissement principal au sein de l’UE au sens du RGPD : dans ce cas, le mécanisme du guichet unique ne s’applique pas.
Enfin, le CEPD précise qu’il revient au responsable de traitement de prouver la qualification de l’un de ses établissements comme « établissement principal au sein de l’UE » et rappelle son obligation de coopération.
Les autorités de contrôle européennes peuvent remettre en cause les éléments de preuve présentés par le responsable de traitement en se fondant sur un examen au cas par cas et exiger, si besoin, des informations complémentaires.
► Opinion 04/2024 on the notion of main establishment of a controller in the Union under Article 4(16)(a) GDPR (en anglais)