Comité Européen de Protection des Données CEPD (UE)
(EU) European Data Protection Board (EDPB)
Décisions contraignantes en cas de positions contradictoires parmi les différentes autorités de contrôle concernées de l’Union (CSAs), et/ou portant sur la désignation de l’autorité de contrôle “chef de file” (Lead SA) et/ou sur le mécanisme du “guichet unique” (One-Stop-Shop)
2 septembre 2021 – “WhatApp Ireland”
28 juillet 2021 – “WhatsApp Ireland” [art. 65]
12 juillet 2021 – 01/2021 “Facebook Ireland”[art. 66(2)]
Lignes directrices, Recommandations & Bonnes pratiques sur l’interprétation des concepts fondamentaux du RGPD
5 août 2021 – Overview on resources made available by Member States to the Data Protection Authorities and on enforcement actions by the Data Protection Authorities – Panorama comparé des actions entreprises par les différentes autorités de régulation de l’Union Européenne depuis l’entrée en vigueur du RGPD
14 juillet 2021 – Guidelines 04/2021 on codes of conduct as tools for transfers – Les transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales ne peuvent avoir lieu sans autorisation particulière d’une autorité de contrôle que si, notamment, ils peuvent être encadrés par des “garanties appropriées” (art.46) parmi lesquelles, le respect “d’un code de conduite approuvé conformément à l’article 40, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées” [art.46 (e)]. Dans un contexte compliqué par la jurisprudence “Schrems II” (CJUE 16 juillet 2020 – Affaire C-311/18) invalidant le “Privacy Shield”- avant un “Schrems III“ (Affaire C-446/21) sur une question préjudicielle de la Cour Suprême Autrichienne déposée le 20 juillet 2021 – le CEDP vient d’ouvrir une consultation publique jusqu’au 1er octobre 2021 pour recueillir les contributions de tout interessé sur des lignes directrices à suivre pour l’édiction d’un code de conduite destiné à encadrer les tranferts de données personnelles.
07 juillet 2021 – Guidelines 07/2020 on the concepts of controller and processor in the GDPR – Lignes directrices sur les qualifications et notions de “responsable du traitement”, de “sous-traitant”, de “responsable conjoint”, de “tiers” et de “destinataire des données”, mis en perspective dans des configurations sectorielles variées, afin notamment de permettre un encadrement plus précis des droits, devoirs et responsabilités respectifs de chacun en matière de protection des données personnelles et, par ailleurs, d’offrir aux “personnes concernées” par ces traitements une meilleure effectivité dans la disposition et la mise en oeuvre de leurs droits à l’égard d’interlocuteurs ainsi plus clairement définis.
18 juin 2021 – Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data – Dans le prolongement de la jurisprudence Schrems II C-311/18, le CEPD propose des recommandations (avec exemples de mesures supplémentaires à adopter) destinées à aider les responsables de traitement, comme les sous-traitants, qu’ils relèvent d’entités publiques ou privées, à faire respecter, dans le cadre de leurs transferts de données vers des pays tiers, le même niveau de garanties que celui attaché aux outils visés à l’article 46 du RGPD.
Avis sur demande de la Commission Européenne ou de sa propre initiative, portant sur toute question ou proposition de modification du RGPD, et sur toute proposition législative de l’UE portant sur la protection des données personnelles sur le territoire de l’Union Européenne
Avis sur les projets de décisions des autorités de contrôle nationales (SAs)
Avis sur l’adéquation du niveau de protection d’un pays tiers et sur les règles de certification
Autorités de contrôle de l'Union Actualité comparée des Décisions et Recommandations
Irlande (DPC)
L’autorité de régulation irlandaise (DPC) lançait le 14 septembre 2021 deux enquêtes sur les services de TikTok, portant sur le respect des exigences du RGPD relatives au traitement des données personnelles des enfants, et aux transferts de données vers la Chine.
La première enquête portait sur le respect des exigences de “Privacy by design” et de “Privacy by default” de TikTok, notamment dans la mesure où ses services sont généralement utilisés par des mineurs de 18 ans, voire par des enfants de moins de 13 ans (dont la DPC souhaite contrôler les mesures de vérification d’âge mises en place par TikTok).
La seconde enquête porte sur l’examen et le contrôle du respect par TikTok des dispositions du RGPD (Chapitre V) en matière de transferts de données à caractère personnel vers des pays tiers, en l’espèce vers la Chine.
14 septembre 2021 “TikTok & Chine”: RGPD: articles 8, art. 44 et s./…]
Pays-Bas (DPA)
L’autorité néerlandaise de protection des données devait prononcer une sanction de 750 000 euros à l’encontre de TikTok pour violation du droit à la vie privée des enfants, utilisateurs des services en ligne de TikTok. Les informations que les utilisateurs néerlandais – notamment et principalement de jeunes enfants – recevaient de la part de TikTok lors de l’installation et de l’utilisation de l’application étaient rédigées en langue anglaise et ne pouvaient donc être comprises de sorte d’obtenir des utilisateurs un consentement éclairé. De même, l’autorité de régulation considérait qu’en ne proposant pas une police de confidentialité publiée en néerlandais, TikTok n’informait pas de manière adéquate ses utilisateurs de la manière dont elle collectait, traitait et faisait usage des données personnelles ainsi recueillies.
La DPA néerlandaise, par ailleurs, compte tenu de l’implantation subséquente du siège social de la société TikTok en Irlande, décidait de transférer à l’autorité de contrôle irlandaise (DPC) le soin de finaliser et compléter l’enquête qu’elle avait commencée, afin de déterminer les sanctions adéquates à prononcer à l’encontre de TikTok….
22 juillet 2021 “TikTok“ RGPD : articles 4(16), 4(7), 5(1), 12(1), 13(1)/…]
France (CNIL)
Aux termes du communiqué de presse publié le 22 juillet 2021 sur son site, la formation restreinte de l’autorité de régulation française (CNIL) décidait de rendre publique une décision qui “sanctionnait la SGAM AG2R LA MONDIALE d’une amende de 1 750 000 euros, pour avoir manqué aux obligations du RGPD relatives aux durées de conservation et à l’information des personnes, après une enquête ouverte par la CNIL en 2019 destinée à vérifier la conformité des traitements mis en œuvre dans le cadre de sa mission de gestion des retraites complémentaires de salariés du secteur privé ainsi que de son activité assurantielle.
AG2R ne respectait pas la durée maximale de conservation de trois ans des données des prospects pourtant fixée dans son référentiel et dans le registre des traitements du groupe. Par ailleurs, elle ne respectait pas les durées maximales de conservation légales des données clients prévues notamment par le Code des assurances et le Code de commerce”.
Sur un autre plan, la CNIL constatait que “l’information fournie aux personnes démarchées téléphoniquement par des sous-traitants de la société ne comportait pas l’ensemble des éléments exigés par le RGPD dès lors que les appels téléphoniques passés par les sous-traitants pouvaient être enregistrés sans que la personne contactée ne soit informée du principe de l’enregistrement ou, notamment, de son droit à s’y opposer”.
20 juillet 2021 “AG2R” RGPD: articles 5(1)(e), 13 & 14
Luxembourg (CNPD)
Aux termes du communiqué de presse publié par la CNIL le 3 août 2021, l’autorité de régulation française révélait que son homologue luxembourgeoise, la Commission Nationale pour la Protection des Données luxembourgeoise (CNPD) avait prononcé le 15 juillet 2021 une amende d’un montant de 746 millions d’euros à l’encontre d’Amazon Europe Core, sur plainte collective de l’ONG “La Quadrature du Net“.
La CNIL rappelait qu’elle avait étroitement coopéré avec la CNPD tout au long de la procédure, dans le cadre de contrôles et de l’analyse des preuves obtenues, puis, lors de l’examen du projet de décision dans le cadre de la procédure du guichet unique, dans la mesure où le siège d’Amazon Europe se trouvait sur le territoire luxembourgeois.
La CNPD n’avait toutefois pas publié le verbatim de la décision – dont l’existence avait révélée en premier lieu par Amazon elle-même, le 29 juillet 2021, dans le cadre de ses résultats trimestriels puis par Bloomberg le 30 juillet 2021 “Amazon Gets Record $888 Million EU Fine Over Data Violations“ – suivant l’interdiction qui lui en était faite par les dispositions de l’article 42 de la loi du 1er août 2018 la réglementant (Section IX – Secret professionnel) ; l’autorité luxembourgeoise rappelait que la publication complète et claire de ses décisions devait être considéré comme une sanction supplémentaire, ajoutant que par suite, elle ne peut publier cette décision avant que les voies de recours (délai de 3 mois) soient épuisées ; Amazon ayant décidé d’exercer un recours devant le Tribunal administratif, jugeant la décision dénuée de tout fondement.
15 juillet 2021 “Amazon” RGPD: articles 6, 7, 8 et suivants..
Slovénie (IPRS)
Suivant les informations publiées par le CEPD sur son site internet le 14 septembre 2021, l’autorité de régulation Slovène (IPRS) a fait injonction à une agence d’information “people””gossip” “potins”/journalisme photos (responsable du traitement) de supprimer de son site internet 88 photographies (outre l’identité de la personne, l’adresse URL et les metadonnées attachées aux fichiers images) concernant un même individu participant à différents évenements sur la période des 15 dernières années précédant sa plainte aux fins de mise en oeuvre de son droit d’opposition, de son droit à déréférencement et de son droit à l’effacement de ses données à caractère personnel publiées sans son consentement (i.e. “droit à l’oubli); ces photographies avaient fait l’objet d’une mise en vente sur le site du responsable du traitement.
Le responsable du traitement opposait une fin de non recevoir fondée essentiellement sur son intérêt légitime, ajoutant en outre que le traitement et la publication consécutive de ces 88 photographies étaient liées à l’exercice de son droit à la liberté d’expression et à droit à l’information du public.
Il était constaté qu’à partir de la vignette et de la description des photos mentionnant l’identité de la personne concernée, il était aisé de retrouver le lieu de l’évènement auquel celle-ci avait participé, de retrouver l’identité de celles et ceux qui l’accompagnaient au moment de la prise de vue, de même que tout ce qui touchait à ses “caractéristiques personnelles” (apparence physique, état d’esprit et humeur du moment …)….
28 juin 2021 – Droit à l’oubli (effacement de photos) – RGPD : articles 6(1)(f) & 17.