Règlement général sur la protection des données personnelles / Notifications de violation de données personnelles / Décision individuelle automatisée y compris le profilage / Lignes directrices révisées (Leb 829)

Le groupe de travail Article 29 (« G29 »), a adopté, le 6 février dernier, 2 séries de lignes directrices révisées (disponibles uniquement en anglais) afin de préciser certaines dispositions du règlement 2016/679/UE relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »). Ces lignes directrices révisées remplacent celles adoptées le 3 octobre 2017. D’une part, des lignes directrices révisées ont été adoptées pour clarifier les obligations nouvelles de notifications de violation de données personnelles prévues par les articles 33 et 34 du RGPD. Le G29 précise les notions juridiques mentionnées à ces articles, les délais pour notifier, les informations à communiquer aux autorités de protection des données nationales et, le cas échéant, aux personnes concernées et les obligations des sous-traitants. A cet égard, le principe selon lequel le responsable du traitement est réputé avoir pris connaissance de la violation de données au même moment que son sous-traitant est maintenu. Le G29 rappelle que la sanction du non-respect des obligations relatives aux notifications de violation de données personnelles, s’élevant à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise, le montant le plus élevé étant retenu, peut être cumulée avec une amende additionnelle de même montant pour absence de mesures de sécurité adéquates imposées par l’article 32 du RGPD. D’autre part, des lignes directrices révisées relatives au cadre juridique régulant les décisions individuelles automatisées, y compris le profilage, ont été adoptées afin de distinguer des concepts juridiques proches mais dont découlent des cadres juridiques et obligations distincts, à savoir le profilage, la prise de décision individuelle automatisée et la prise de décision individuelle automatisée produisant des effets juridiques ou d’importance similaire. Le G29 apporte des précisions quant aux bases juridiques sur lesquelles un responsable peut effectuer de tels traitements, notamment, la stricte nécessité du profilage ou de la prise de décision individuelle automatisée ayant des effets juridiques ou similaires pour l’exécution d’un contrat ou pour entrer dans une relation contractuelle, l’autorisation d’un tel type de traitement par le droit d’un Etat membre et le consentement explicite de la personne concernée. Le G29 explique également comment les droits renforcés des personnes concernées peuvent être exercés en pratique et il détaille les précautions que doit prendre le responsable, telles que l’audit régulier de l’algorithme et la haute précision avec laquelle l’analyse d’impact relative à la protection des données doit être menée pour éviter de reproduire des biais humains et assurer un traitement juste et non-discriminatoire. (CH)

© 2020 Copyright DBF. All Rights reserved. Mentions légales / Politique de cookies