Le Comité Européen de la Protection des Données (ci-après « CEPD ») a publié de nouvelles lignes directrices relatives à la protection des données personnelles.
Suite à une consultation publique, le CEPD a adopté la version finale de ses lignes directrices sur la protection des données personnelles.
Ces lignes directrices se concentrent sur l’obligation de protection des données dès la conception et l’obligation de protection par défaut énoncées à l’article 25 du RGPD [1].
Ces obligations renvoient au fait que les entreprises/organisations sont encouragées, dès les premières étapes de la conception des opérations de traitement, à mettre en œuvre des mesures techniques et organisationnelles, de manière à préserver dès le départ la vie privée et les principes en matière de protection des données (obligation de protection des données dès la conception).
Par défaut, les entreprises/organisations doivent s’assurer que les données à caractère personnel sont traitées selon le niveau le plus élevé de protection de la vie privée (par exemple, seules les données nécessaires doivent être traitées, avec une durée de conservation brève et une accessibilité limitée) afin que, par défaut, les données à caractère personnel ne soient pas rendues accessibles à un nombre indéterminé de personnes (obligation de protection des données par défaut).
La publication des lignes directrices n’a pas encore eu lieu, mais elle devrait intervenir dans les jours à venir.
Par Marie-Alix André et l’équipe IP/IT
Source : Comité Européen de la Protection des Données
Lien : https://edpb.europa.eu/news/news/2020/european-data-protection-board-40th-plenary-session-guidelines-data-protection-design_fr
[1] Article 25 – Protection des données dès la conception et protection des données par défaut
« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.
Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article ».
Comments are closed.