L’EDPB a publié un avis le 12 mars dernier, en réponse à trois questions qui lui ont été soumises par l’autorité belge de protection des données.
- Est-ce que le fait qu’un traitement de données entre dans le champ d’application matériel à la fois de la directive « ePrivacy » et du RGPD limite les compétences, missions et pouvoir des autorités de protection des données ?
L’EDPB précise que les autorités de protection des données sont compétentes pour contrôler le respect du RGPD, le simple fait qu’une partie du traitement tombe sous l’application de la directive « ePrivacy » ne vient pas limiter leur compétence d’autorité de contrôle dans le cadre du RGPD.
- Lorsqu’elles exercent leurs pouvoirs dans le cadre du RGPD, est-ce que les autorités de protection des données doivent prendre en compte les dispositions de la directive « ePrivacy », et si oui dans quelle mesure ?
L’EDPB indique que la ou les autorité(s) désignée(s) comme compétentes par les États membres sont seules responsables pour faire appliquer les dispositions de la loi nationale transposant la directive « ePrivacy », y compris dans les cas où le traitement de données à caractère personnel entre dans le champ d’application matériel à la fois de la directive et du RGPD.
Dès lors qu’un manquement au RGPD peut également constituer un manquement à la directive « ePrivacy », l’autorité de protection des données pourra en tenir compte. Toutefois, toute décision prise devra être justifiée sur la seule base du RGPD, sauf si l’autorité chargée de la protection des données s’est vu attribuer des compétences supplémentaires au titre de la directive « ePrivacy » par la législation nationale des États membres.
- Dans quelle mesure les mécanismes de coopération et de cohérence sont-ils applicables aux traitements qui déclenchent, du moins en ce qui concerne certaines opérations de traitement, le champ d’application matériel à la fois du RGPD et de la directive « ePrivacy » ?
Selon l’EDPB, les mécanismes de coopération et de cohérence mis à la disposition des autorités chargées de la protection des données en vertu du chapitre VII du RGPD concernent le contrôle de l’application des dispositions du RGPD et ne s’appliquent donc pas dans le cadre du contrôle du respect de la directive « ePrivacy ».
Pour plus de détails : https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-52019-interplay-between-eprivacy-directive_fr
- Voir notamment les précisions apportées par l’EDPB des cas où il n’y a pas d’interaction entre la directive « ePrivacy » et le RGPD, soit parce que la question est hors champs d’application du RGPD ou bien hors champ d’application de la directive, ainsi que les cas qui entrent dans le champ d’application des deux textes.
- L’EDPB apporte également des éclairages utiles sur la signification de cet article 1 (2) de la directive « ePrivacy » qui énonce que cette directive a pour objectif de « préciser et compléter » les dispositions de la directive 95/46/CE, (remplacée depuis par le RGPD).
