La Présidence chypriote du Conseil de l’Union européenne a présenté aux États membres une proposition de compromis révisée concernant le paquet de simplification des règles européennes relatives au règlement général sur la protection des données (RGPD), lors de la réunion du groupe Antici sur la simplification (AGS), mercredi 27 mai. Cette proposition s’inscrit dans le cadre du paquet de simplification de la législation sur le numérique ('Digital Omnibus') présenté par la Commission européenne en novembre dernier, qui autorise une utilisation plus large des données personnelles au nom de « l’urgence de restaurer la compétitivité de l’Europe » (EUROPE 13755/4).
La proposition révisée, consultée par Agence Europe, introduit de nouveaux considérants 27(a) et 27(b) relatifs à l’avis que le Comité européen de la protection des données (EDPB) devrait publier sur la pseudonymisation. Un nouvel article 29 prévoit que le président du Comité demandera cet avis au plus tard douze mois après l’entrée en vigueur du règlement, tandis que l’article 70 ajoute que cet avis devra également établir une liste des situations dans lesquelles le traitement n’est pas susceptible d’entraîner un risque élevé.
En ce qui concerne les dérogations à l’interdiction du traitement des catégories particulières de données prévues à l’article 9 du RGPD, le nouveau document précise que, dans le cadre du développement de systèmes ou de modèles d’intelligence artificielle, cette dérogation ne devrait pas couvrir les données collectées par le biais des requêtes ('prompts'). Si l’effacement de ces données s’avère impossible ou nécessite des efforts disproportionnés, tels qu’une réingénierie du système ou du modèle d’IA, le responsable du traitement devra protéger ces données « contre tout traitement ultérieur ou tout traitement à d’autres fins ».
Le texte précise en outre que le traitement des données biométriques à des fins de vérification de l’identité ne devrait être utilisé que lorsqu’il est nécessaire et proportionné et sous réserve de garanties appropriées. Cela signifie notamment que la personne concernée doit pouvoir décider quand et comment ses données biométriques sont utilisées à des fins de vérification, sans que le responsable du traitement ait la capacité technique d’accéder à ces données sous une forme déchiffrée. La personne concernée devrait également pouvoir supprimer ses données biométriques de manière sécurisée à tout moment.
Concernant la dérogation à l’obligation d’informer la personne concernée lorsque ses données sont traitées, prévue à l’article 13 du RGPD, le nouveau texte de compromis clarifie qu'elle ne s’applique pas « dans le domaine de l’emploi ou dans les relations avec les autorités publiques, les organismes publics ou les entités privées exerçant une mission d’intérêt public ».
Le considérant 38 précise désormais aussi que les individus ont le droit de ne pas faire l’objet d’un traitement automatisé de leurs données, sauf dans certaines conditions spécifiques.
Les responsabilités sont plus clarifiées dans le considérant 39 du nouveau texte. Les responsables du traitement demeurent seuls responsables de la détermination des finalités et des moyens du traitement ainsi que du respect des obligations correspondantes, tandis que les sous-traitants devront veiller à ce que la protection des données dès la conception ('privacy by design') et par défaut soit appliquée à leurs offres et services de traitement.
Aux fins de la mesure d’audience, le texte précise que les informations agrégées ne doivent pas être liées à une personne concernée identifiable et qu’elles doivent demeurer anonymes. Les données collectées ne pourront pas être réutilisées à d’autres fins, ni combinées avec des données provenant d’autres services, telles que des informations analytiques issues d’autres sites Internet ou applications, ni partagées avec des tiers.
En matière de consentement, le responsable du traitement devra respecter le refus d’une demande de consentement pendant une période minimale de six mois. Le considérant 45 précise que « cette obligation s’applique à tout responsable du traitement qui accède à des données personnelles stockées dans l’équipement terminal de la personne concernée ou (qui) y stocke de telles données, y compris les fournisseurs de cookies tiers ».
Un nouveau considérant 46(a) précise également que les solutions techniques devront empêcher les pratiques d’auto-préférence.
Une autre évolution importante concerne la clarification selon laquelle les États membres seront responsables de la mise en place de points d’entrée nationaux permettant aux entités de signaler les incidents (nouvel article 23(b)), et non d’un point d’entrée unique, tandis que l’article 23(c) précise en outre que l’ENISA élaborera des lignes directrices destinées à favoriser l’harmonisation des notifications d’incidents. (Ana Pisonero Hernández)