Lignes directrices CEPD RGPD : droit d’accès, guichet unique et violation de données

Le 28 mars 2023, le Comité européen de la protection des données (CEPD) a publié de nouvelles lignes directrices pour renforcer la protection des données personnelles. Les directives concernent l’identification de l’autorité chef de file, la notification des violations de données et le droit d’accès des personnes concernées par le Règlement général sur la protection des données (RGPD).

1. Les lignes directrices sur le droit d’accès : une meilleure compréhension pour les utilisateurs

Le CEPD a élaboré ces lignes directrices pour analyser les différents aspects du droit d’accès (article 15 du RGPD) et fournir des orientations précises sur la manière dont ce droit doit être mis en œuvre dans diverses situations. Les directives couvrent notamment :

• Le champ d’application du droit d’accès aux données personnelles ;
• Les informations que le responsable du traitement doit fournir à la personne concernée ;
• Le format de la demande d’accès ;
• Les principales modalités de fourniture de l’accès ;
• La notion de demandes manifestement infondées ou excessives.

Ces directives aideront les utilisateurs à mieux comprendre leurs droits en matière de protection des données personnelles et à exercer leur droit d’accès de manière plus efficace.

2. Mise à jour des lignes directrices sur l’autorité chef de file : clarifications pour les responsables conjoints de traitement

Le RGPD a instauré la procédure dite du « guichet unique », qui désigne l’autorité de protection des données du pays où se trouve l’établissement principal d’une société comme l’interlocutrice privilégiée pour déposer une plainte ou mener des actions répressives. Le CEPD a révisé ces lignes directrices pour clarifier la désignation de l’autorité chef de file dans le cas spécifique des responsables conjoints de traitement. Les points clés abordés incluent :

• L’accord entre les co-responsables de traitement ne détermine pas, seul, l’autorité compétente au regard du RGPD ;
• La notion d’établissement principal est liée à la définition d’un responsable de traitement et ne peut s’étendre à des responsables conjoints de traitement ;
• Chaque co-responsable de traitement dispose de son établissement principal.

Cette mise à jour offre une meilleure compréhension des responsabilités et de la coordination entre les co-responsables de traitement.

3. Mise à jour des lignes directrices sur la notification des violations de données : clarifications pour les entités hors Espace économique européen

Le CEPD a également révisé les lignes directrices sur la notification des violations de données pour clarifier la procédure de notification pour les entités situées en dehors de l’Espace économique européen (EEE). Suite à une consultation publique, le CEPD a décidé de publier sur son site web la liste des liens et coordonnées pour déclarer une violation de données auprès de chacune des autorités de l’EEE, ainsi que les langues acceptées.

Ces mises à jour apportent des précisions sur la notion de violation de données et les différents aspects de la procédure de notification auprès des autorités concernées et d’information des personnes concernées. Les entités situées en dehors de l’EEE pourront ainsi mieux comprendre et respecter les exigences du RGPD en matière de notification des violations de données.

Conclusion

Les nouvelles lignes directrices publiées par le CEPD visent à renforcer la protection des données personnelles en clarifiant le droit d’accès des personnes concernées, les responsabilités des responsables conjoints de traitement et la procédure de notification des violations de données pour les entités hors EEE. Ces mises à jour offrent une meilleure compréhension des exigences du RGPD et contribuent à améliorer la protection des données personnelles des utilisateurs.

Il est crucial pour les organisations et les individus de se tenir informés des évolutions du RGPD et des lignes directrices du CEPD pour assurer la conformité et la protection des données personnelles. En tant que blogueur spécialiste en protection des données personnelles, je continuerai à suivre ces développements et à partager les informations les plus pertinentes pour aider les lecteurs à naviguer dans le paysage complexe de la protection des données personnelles.

Assurez-vous de visiter régulièrement mon blog pour rester informé des dernières actualités et conseils en matière de protection des données personnelles et de RGPD. Ensemble, nous pouvons contribuer à un environnement numérique plus sûr et respectueux de la vie privée pour tous.