GDPR : le G29 diffuse les trois premiers Guides d’implémentation

Publié le 16/12/2016 par Etienne Wery , Thierry Léonard - 14105 vues

Tous ceux qui sont occupés sur un « chantier » d’implémentation GDPR les attendaient. Les trois premières lignes directrices relatives au Règlement européen ont été adoptées par le Groupe 29 en séance plénière ce 13 décembre 2016 et sont maintenant accessibles en ligne. Ils concernent le droit à la portabilité (article 20 du GDPR), le régime du Data Protection officer (DPO) (articles 37 à 39 du GDPR) et l’identification de l’autorité de contrôle « chef de file » (article 56 du GDPR).

Un besoin d’aide à l’interprétation du GDPR

Ceux qui y travaillent le savent : l’implémentation du GDPR, en entreprise ou dans le secteur public, sera souvent longue et difficile. Pas seulement parce que l’on découvre un grand nombre de traitements passés inaperçus sous le régime de la directive ou que les ressources internes manquent cruellement pour respecter le délai de mai 2018, mais aussi parce que certaines dispositions du GDPR restent floues et posent pas mal de questions d’interprétation.

Le G29 l’avait promis -les commissions nationales également-: ils éditeraient aussi vite que possible des lignes directrices permettant d’aider les destinataires des nouvelles normes -responsables et sous-traitants – à se conformer au nouveau texte.

Trois premiers documents sont donc diffusés après 6 mois de travail. Il faut dire qu’il s’agit en quelque sorte  pour deux d’entre eux de prérequis à l’implémentation : si un DPO doit être nommé, il paraît normal qu’il soit partie prenant au travail d’implémentation ; en cas de traitement transfrontalier -ce qui sera souvent le cas pour de grands groupes d’entreprises-  il est utile de savoir dès maintenant quelle autorité -l’autorité chef de file- sera désormais compétente pour contrôler ou sanctionner un traitement posant difficulté. Le troisième peut paraître plus accessoire mais est totalement neuf dans le paysage de la protection des données et demandait donc des précisions nécessaires : le droit à la portabilité.

A vocation pratique, un FAQ bien utile est annexé à chaque document.

Le Guide relatif au droit à la portabilité

Le droit à la portabilité prévu à l’article 20 du GDPR est nouveau. Ce dernier apparaît comme un droit d’accès amélioré, auquel est associée une exigence d’interopérabilité. L’objet du droit serait, selon l’exposé des motifs , « de transmettre des données d’un système de traitement automatisé à un autre, sans que le responsable du traitement puisse y faire obstacle ». Pour ce faire, il permet à la personne concernée de recevoir les données qu’elle a communiquées à un premier responsable du traitement dans un format « format structuré, couramment utilisé et lisible par machine ». Elle peut même exiger que les données soient transmises directement par le premier responsable au second.

Oui, mais… Les conditions et modalités d’application de la reconnaissance du droit ne sont pas très claires : quels sont les outils de portabilité qui peuvent ou doivent être utilisés (download des données, API etc.) ? Comment concilier le droit à la portabilité avec les droits d’autrui lorsque les données sont relatives également à des tiers ou comprend des éléments protégés par un secret commercial ou un droit de propriété intellectuelle (le responsable ultérieur y aura-t-il également accès ?) Quelles sont exactement les données couvertes par le nouveau droit dès lors qu’elles doivent « avoir été fournies » par la personne concernée ? Couvrent-elles les données générées par l’utilisation du service ou du produit ? Quel format doit être utilisé ? Le support fourni par le premier responsable doit-il être compatible avec celui du second ou simplement interopérable ?…

Autant de questions qui trouvent une réponse ou, à tout le moins, des débuts de réponse dans le document émis par le G29.

Le Guide relatif au Data Protection Officers (DPO)

Ce document était sans doute le plus attendu. Il est également le plus fouillé et le plus touffu des trois. Il couvre tant les difficultés relatives à la désignation du DPO qu’à la détermination de ses fonctions ou de ses missions (voir articles 37, 38 et 39 GDPR).

Concernant la désignation du DPO, des doutes existaient quant à la portée des hypothèses de désignation qui dépendent en partie de concepts à interprétation variable comme celui d’« activité de base » du responsable ou de traitement « à grande échelle » des données visées. Force de reconnaître que l’interprétation du G29 est très large et étend autant que faire se peut les hypothèses de désignation retenues par le texte. Certaines entreprises risquent d’être surprises.

Le document comprend également des précisions utiles par rapport à l’accessibilité du DPO (il doit être « facilement joignable »), à sa compétence ou son niveau d’expertise ainsi que sur les conditions dans lesquelles les tâches du DPO peuvent être confiées à un prestataire de service tiers à l’organisation. Les précisions quant aux garanties qui doivent assurer son indépendance et la condition d’absence de conflits d’intérêts laissent a priori plus le lecteur sur sa fin, sans doute parce que seule la pratique révèlera un enseignement véritablement utile.

Le groupe 29 précise bien que le DPO n’est pas personnellement responsable de la conformité du GDPR mais bien le responsable ou, le cas échéant, le sous-traitant tout en insistant sur l’importance de documenter le processus de décision en cas d’absence de prise en compte de ses avis ou opinions.

Le Guide relatif à l’identification de l’autorité chef de fil du responsable ou du sous-traitant

Nous avions dans un premier commentaire du GDPR attiré l’attention sur les difficultés de la détermination de l’autorité compétente en cas de traitement transfrontalier (article 56 du GDPR).

C’est que celle-ci dépend de l’interprétation de diverses notions nouvelles, pas toujours aisées à comprendre sur le terrain traditionnellement complexe de la détermination des champs d’application territoriale des dispositions en la matière.

C’est pourquoi on attendait les précisions données pour éclairer la notion complexe de « traitement transnational » visée à l’article 4 (23) du GDPR. Plaidant pour une interprétation au cas par cas , le document donne ainsi un éclairage assez utile de la condition « d’affectation sensible » des personnes concernées dans différents territoires de l’Union par le traitement effectué au départ d’un seul établissement du responsable.

Il aide également à l’identification de l’autorité chef de fil en éclairant la notion de « principal établissement » définie à l’article 4 (16) du GDPR, notamment en cas de groupe d’entreprises en admettant que des cas complexes pourront se présenter et  insistant sur l’interdiction de tout « forum shopping » en la matière.

D’autres informations précieuses sont encore fournies, notamment  en vue d’éclairer sur la portée de la notion « d’autorité de contrôle concernée » au sens de l’article 4 (22) du GDPR.

Pour plus d’informations, consultez d’ores et déjà les documents et FAQ mis en ligne ci-après. Des news plus précises seront consacrées à chacune des Guidelines dans les prochains jours.