Lors de la réunion plénière des 4 et 5 avril 2017, le groupe de travail de l'article 29 (ou "G29") a travaillé sur les outils de mise en oeuvre du règlement général sur la protection des données (RGPD) et de l'accord USA-UE du Privacy Shield. Il a adopté un avis concernant la régulation e-Privacy et les versions définitives concernant les lignes directrices sur la portabilité des données, les délégués à la protection des données et l'autorité chef de file. Une première version des lignes directrices sur les études d'impact sur la vie privée, qui sera soumise à consultation publique jusqu'au 23 mai, a également été présentée.
Préparation du règlement européen de protection des données (RGPD)
Après analyse des contributions de la consultation publique terminée le 15 février 2017, le G29 a adopté les versions définitives de ses lignes directrices à destination des professionnels sur le règlement européen de protection des données (RGPD) sur les délégués à la protection des données, l'autorité chef de file et la portabilité des données.
Avant de les soumettre à consultation publique jusqu'au 23 mai, le G29 vient d'adopter des lignes directrices sur les études d'impact sur la vie privée.
Par ailleurs, suite à une journée d'échanges fructueux le 30 mars 2017 à Paris, le G29 a indiqué poursuivre son travail sur les lignes directrices relatives à la certification.
Enfin, chaque sous-groupe du G29 a tenu informé la plénière du G29 des travaux lancés dans le cadre du plan d'action 2017 : consentement, profilage, transparence, violation de données à caractère personnel et transferts de données. Un point a également été fait sur l'organisation et la structure du futur Comité Européen à la Protection des Données (CEPD), afin d'être prêt le 25 mai 2018.
Privacy Shield : rencontre avec les représentants des autorités américaines
La Présidente du G29, Isabelle Falque-Pierrotin, a informé la séance plénière de sa visite à Washington des 29 et 31 mars 2017, réalisée en même temps que la Commissaire Européenne Vera Jourova.
Le sous-groupe du G29 sur les transferts internationaux (ITS) a rapporté la teneur de la rencontre du 14 mars 2017 avec les représentants américains du département du commerce, de la commission fédérale du commerce et de la mission diplomatique américaine auprès de l'Union Européenne.
Le G29 a décidé de la publication, sur le site du G29 et sur les sites des autorités de régulation nationales, d'un formulaire spécifique pour les individus pour leur permettre d'exercer, auprès du médiateur américain, leur droit d'accès aux données personnelles qui seraient traitées par les agences américaines de renseignement pour des motifs de sécurité nationale. (à consulter prochainement sur le site du G29 et des autorités nationales)
Le G29 a également discuté des modalités de l'organisation de l'évaluation annuelle conjointe avec la Commission Européenne pour évaluer l'efficacité et la robustesse des garanties apportées par les autorités américaines sur l'accord du Bouclier de confidentialité. Cette évaluation est prévue pour l'automne 2017.
Autres prises de position : e-privacy, applis sante, Yahoo, drones
Le G29 a adopté des avis sur :
(i) le projet de règlement européen sur la e-privacy proposé par la Commission Européenne le 10 janvier 2017 ; le G29 accueille favorablement la proposition d'un règlement sur la e-privacy ; en particulier , il apprécie le choix du règlement comme instrument législatif ; le fait que ce règlement intègre les OTT et les mettent sur un pied d'égalité avec les opérateurs télécoms sur le plan des obligations de confidentialité ; le G29 reçoit aussi positivement les efforts de modernisation des règles applicables au tracking dans l'univers en ligne. Néanmoins, les autorités de protection des données expriment leur inquiétude sur quatre sujets : le Wifi tracking, l'analyse du contenu et des métadata, les murs de tracking (tracking wall) et la protection de la vie privée par défaut (privacy by default) dans les terminaux et logiciels ;
(ii) le règlement européen 45/2001 révisé sur le traitement des données personnelles réalisé par les institutions et agences européennes ; le G29 souligne l'importance d'assurer l'articulation entre le RGPD et le règlement 45/2001 ; il souligne la nécessité absolue que, conformément au RGPD, il soit reconnu une pleine compétence au futur CEPD pour conseiller la Commission Européenne sur tout projet d'acte réglementaire ou de recommandation sur le traitement des données personnelles.
De plus, le G29 a pris position sur :
(i) la proposition d'un règlement sur le nouveau système européen d'autorisation et d'information de voyage (ETIAS, EU Travel Information and Autorisation System) ; (à consulter prochainement sur le site du G29)
(ii) un code de conduite qui lui a été soumis concernant le respect de la vie privée pour les applications de santé sur smartphone ; une lettre publique livre de premiers commentaires sur la conformité de ce code avec la directive de protection des données de 1995 tout en tenant en compte des exigences du RGPD. (à consulter prochainement sur le site du G29)
Le G29 a également :
(i) adopté une lettre publique à propos de Yahoo à destination du bureau du directeur du renseignement américain (ODNI) afin d'obtenir des informations complémentaires sur le fondement juridique et les motivations des activités de surveillance des autorités américaines sur les sujets de droit européens ; une copie de cette lettre sera également envoyée au médiateur de l'accord Bouclier de confidentialité ; (à consulter prochainement sur le site du G29)
(ii) acté de préparer une réponse à la consultation de la Commission Européenne (avril - juillet 2017) relative au règlement sur les prototypes (Prototype Commission Regulation), qui étendra la compétence du règlement européen à tous les drones de moins de 150 kg, actuellement régulés au niveau national.
Un avis sur la surveillance des salariés est en préparation et il traitera de la protection des données personnelles autour de sujets délicats comme : l'utilisation des réseaux sociaux dans les processus de recrutement ou après le départ du salarié de son entreprise, les outils visant à prévenir la perte de données pour des motifs de sécurité informatique, la géolocalisation pour suivre le déplacement des personnes ou des biens, ou encore l'effacement progressif de la frontière entre domicile et travail à mesure que les salariés travaillent davantage à distance ou utilisent le BYOD (bring your own device).
Fablab
Le Fablab G29 2017 s'est tenu les 5 et 6 avril à Bruxelles. Cet atelier coopératif a permis aux parties prenantes intéressées (société civile et fédérations européennes) de discuter et de s'informer des priorités du G29 sur le consentement, le profilage et les violations de données à caractère personnel. Les résultats de cet événement et des consultations publiques nationales permettront aux autorités de protection des données d'élaborer des lignes directrices sur ces sujets d'ici la fin de l'année 2017.