Un nouvel outil de coordination des actions des autorités de contrôle a vu le jour en octobre 2021. Il vise à agir de façon prospective. Deux premiers thèmes d’action, et non des moindres ont été identifiés pour 2022.

Le contexte

Le Règlement Général sur la Protection des Données (« RGPD ») a pour double objectif, comme cela est indiqué dans son intitulé même, la « protection des personnes physiques à l’égard du traitement » des données personnelles et « la libre circulation de ces données » au sein de l’Union Européenne, voire de l’Espace Economique Européen (« EEE »).

Pour atteindre cet objectif, il faut notamment une harmonisation importante de l’approche et des règles applicables dans les différents pays.

Le fait que le RGPD soit un règlement européen, et donc d’application directe dans les pays membres de l’Espace Economique Européen (« EEE »), à la différence de l’ancienne Directive 95/46, ne suffit pas à lui seul à atteindre l’objectif d’harmonisation.

Le RGPD a mis en place le Comité Européen de la Protection des Données (en anglais « EDPB ») auquel il a donné un pouvoir normatif et impose aux autorités nationales de contrôle un devoir de coopération mutuelle et de cohérence dans leurs décisions de façon à contribuer à l’objectif commun.

Il existe déjà un certain nombre d’outils d’harmonisation, à savoir : les divers documents (lignes directrices, recommandations, lettres, etc.) de l’EDPB ; le système du guichet unique ; la coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées pour les enquêtes et contrôles et le mécanisme de contrôle de la cohérence.

L’action coordonnée par l’EDPB vient de s’enrichir de deux outils supplémentaires annoncés dans Stratégie pour la période 2021-2023, établie en décembre 2021 : la création d’une réserve d’experts (en anglais « Support Pool of Experts » ou « SPE ») et la création d’un cadre d’application coordonné (en anglais « coordinated enforcement framework » ou « CEF »).

Le cadre d’application coordonné (« CEF »)

Le cadre d’application coordonné (en anglais « Coordinated Enforcement Framework » ou « CEF ») structure la coordination des activités annuelles récurrentes menées par les autorités de contrôle nationales, membres du Comité Européen de la Protection des Données (en anglais « EDPB »).

L’action coordonnée annuelle est menée par des autorité de contrôle de l’Espace Economique Européen sur un thème prédéfini, à l’aide d’une méthodologie convenue et d’un cadre procédural établi par le CEF.

L’objectif du CEF est de faciliter des actions conjointes de manière souple mais coordonnée, allant de la sensibilisation et de la collecte d’informations conjointes à des opérations répressives ciblées et coordonnées et des enquêtes conjointes. Il s’agit d’encadrer des actions avant tout proactives (et non réactives comme dans le cadre d’une enquête ou procédure de sanction).

Les actions coordonnées annuelles récurrentes ont pour objectif de promouvoir le respect des règles, de donner aux personnes concernées les moyens d’exercer leurs droits, de sensibiliser et/ou d’améliorer les connaissances des autorités de contrôle.

Premier thème prioritaire

L’utilisation, par le secteur public, de services utilisant le cloud

22 autorités de contrôle participent depuis février 2022 à des investigations sur l’utilisation, par le secteur public, de services utilisant le cloud.

Au niveau national, la CNIL participe à ce groupe de travail européen au travers de procédures de contrôles visant cinq ministères.

Deuxième thème

Le Délégué à la Protection des données (plus connu sous l’appellation anglaise de « DPO »)

Le deuxième thème prioritaire annoncé le 14 septembre 2022 est relatif à la désignation et la fonction du Délégué à la Protection des Données (« DPO »)

Ce thème est particulièrement intéressant pour les professionnels du secteur qui s’interrogent à de nombreux égards sur les qualifications attendues, les moyens nécessaires, les conflits potentiels et les contours exacts des missions d’un DPO. Les résultats des actions coordonnées feront l’objet d’un rapport qui doit être adopté en fin d’année.