Droit d’accès, guichet unique, violation de données : le CEPD publie de nouvelles lignes directrices
Le 28 mars 2023, le Comité européen de la protection des données (CEPD) a mis à jour ses lignes directrices sur l'identification de l'autorité chef de file et celles sur la notification des violations de données. Il a également adopté des lignes directrices sur le droit d'accès des personnes concernées.
Des lignes directrices sur le droit d'accès
Ces lignes directrices visent à analyser les différents aspects du droit d'accès (article 15 du règlement général sur la protection des données ou RGPD) et à fournir des orientations plus précises sur la manière dont ce droit doit être mis en œuvre dans différentes situations.
Elles apportent notamment des précisions et des exemples pratiques sur les aspects suivants :
- le champ d'application du droit d'accès aux données personnelles ;
- les informations que le responsable du traitement doit fournir à la personne concernée ;
- le format de la demande d'accès ;
- les principales modalités de fourniture de l'accès ; et
- la notion de demandes manifestement infondées ou excessives.
Une mise à jour des lignes directrices sur l'autorité chef de file
Dans la procédure dite du « guichet unique » du RGPD, l’autorité de protection des données du pays où se situe l’établissement principal d’une société est l’interlocutrice privilégiée pour déposer une plainte ou mener des actions répressives. Il s’agit de l’autorité dite « chef de file ».
Les lignes directrices sur la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant ont initialement été adoptées par le Groupe de travail Article 29 en 2016, avant d'être révisées une première fois en 2017 puis avalisées en 2018 par le CEPD.
Une révision ciblée de ces lignes directrices a été entreprise en 2022 afin de clarifier la désignation de l'autorité chef de file dans le cas spécifique de responsables conjoints de traitement :
- L’accord conclu par les co-responsables de traitement n’est pas nécessairement pris en compte par les autorités de contrôle. Ces dernières ne retiendront le contenu de cet accord qu'à condition qu'il reflète de manière adéquate les rôles respectifs des responsables conjoints de traitement (article 26(2) du RGPD).
- Cet accord entre les co-responsables ne permet pas, seul, de déterminer l’autorité compétente au regard du RGPD, ni la capacité de ces autorités à exercer leurs pouvoirs de contrôle et répressifs (articles 57 et 58 du RGPD).
- La notion d'établissement principal est liée à la définition d’un responsable de traitement et ne peut s’étendre à des responsables conjoints de traitement. En d'autres termes, les co-responsables ne peuvent pas désigner un établissement principal commun : chaque co-responsable de traitement dispose de son établissement principal.
Une mise à jour des lignes directrices sur la notification des violations de données
Ces lignes directrices ont initialement été adoptées en 2017 par le Groupe de travail Article 29 avant d'être reprises n 2018 par le CEPD. Elles apportent des précisions sur la notion de violation de données ainsi que sur les différents aspects de la procédure de notification auprès des autorités concernées et d’information des personnes concernées.
En 2022, le CEPD a entrepris une révision partielle de ces lignes directrices afin de clarifier la procédure de notification pour les entités situées en dehors de l’Espace économique européen. Après une période de consultation publique, cette mise à jour ciblée a été adoptée.
À l’issue de cette consultation publique, il a notamment été décidé que le CEPD publiera, sur son site web, la liste des liens et coordonnées pour déclarer une violation de données auprès de chacune des autorités de l'Espace économique européen, ainsi que les langues acceptées.
Les lignes directrices
- Lignes directrices 01/2022 sur les droits des personnes concernées – Droit d’accès [en anglais]
- Lignes directrices 08/2022 sur l'identification de l'autorité chef de file [en anglais]
- Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel dans le cadre du RGPD [en anglais]