La CNPD vient de publier un rapport d'information sur les enquêtes relatives à la transparence dans le secteur des services en ligne.
La transparence n’est pas une notion nouvelle mais une caractéristique bien ancrée en matière de protection des données. Elle prend un sens d’autant plus important dans le domaine des services en ligne, compte tenu des spécificités de ce secteur et du fait que l’intégralité des interactions sont opérées de manière virtuelle. En outre, des lignes directrices claires relatives à la transparence ont été définies par le Comité Européen de la Protection des Données (EDPB) et sont disponibles depuis novembre 2017. L’objectif premier de la transparence est l’installation de la confiance entre les responsables du traitement et les personnes concernées. La notion de transparence prend une dimension encore plus forte avec le RGPD et le principe d’accountability, auquel elle est intrinsèquement liée. La transparence permet aux personnes concernées de savoir ce que le responsable de traitement fait de leurs données personnelles et d’exiger des responsables du traitement qu’ils rendent des comptes à cet égard.
Conformément à l’article 58 du RGPD, la CNPD a le pouvoir de lancer des enquêtes de sa propre initiative. Ces enquêtes dites « proactives » peuvent être effectuées sous forme d’enquêtes thématiques portant sur les obligations du RGPD auprès de différentes organisations.
Entre 2020 et 2022, la CNPD a mené des enquêtes thématiques sur la transparence dans le secteur des services en ligne portant sur 6 organismes établis au Luxembourg et proposant des services en ligne dans différents domaines (commerce, restauration, loisirs et autres services). Ce choix a été motivé notamment par la forte croissance qu’ont connu certains services en ligne dans le cadre de la pandémie.
Pour réaliser ces enquêtes, le chef d’enquête s’est notamment basé sur les documents d’orientations générales fournis par l’EDPB. L’objectif de ces enquêtes thématiques était de s’assurer que les responsables du traitement qui collectent des données auprès des personnes concernées le font dans le respect des articles 12 point 1, 13 et 14 du RGPD.
Le rapport constitue une synthèse des travaux et des résultats de ces enquêtes. La première partie présente les objectifs et le déroulement des travaux d’enquête. La seconde partie présente les résultats des travaux d’enquête. La troisième partie décrit les décisions prises par la formation restreinte relatives à ces enquêtes. Enfin, la quatrième partie présente les recommandations de la CNPD relatives à la transparence.