1

Une nécessaire clarification de certaines notions

< Rapport d'information >

Comme vos rapporteurs l’ont souligné précédemment, plusieurs notions évoquées dans le règlement devront être clarifiées par le G29 afin de permettre une application uniforme du règlement parmi les États membres de l’Union européenne.

C’est le cas notamment de la notion de « risque élevé » nécessitant qu’un responsable de traitement consulte l’autorité de contrôle avant de mettre en œuvre un traitement de données. L’article 35 du règlement prévoit que cette notion devra être précisée par les autorités de contrôle qui devront établir « une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requis e ». En outre, le G29 devrait adopter des lignes directrices au premier trimestre 2017 sur cette notion.

De même, devra être précisé dans quels cas un responsable de traitement devra informer les personnes concernées en cas de violation de données représentant un risque élevé pour sa vie privée.

Dans les éléments transmis à la mission, l’entreprise Microsoft souligne les risques d’applications divergentes d’un État membre à un autre. Il cite l’exemple de la nomination d’un délégué à la protection des données à caractère personnel qui « sur la base des critères de l’article 37 pourrait s’avérer (…) incertaine pour des structures de petite dimension » car quelles que soient les clarifications apportées par le G29 « la notion de “ suivi régulier et systématique à grande échelle des personnes concernées ” ne sera pas d’interprétation uniforme et immédiate, notamment par les entités ne disposant pas des moyens et de l’expertise en protection des données requis pour procéder à un tel exercice. »

Sur l’ensemble de ces notions, vos rapporteurs considèrent que les avis du G29 seront essentiels pour éviter toute incertitude juridique potentiellement préjudiciable pour les responsables de traitement et pour les personnes concernées.

Ils estiment également que la possibilité offerte par le règlement d’un regroupement d’entreprises, notamment les plus petites d’entre elles, pour désigner ensemble leur délégué à la protection de données, – qui est certes intéressante adossée au concept de « facilement joignable » – nécessitera néanmoins un travail très fin d’ajustement juridique.

< Rapport d'information >