CONTACT

Violation de données : des nouvelles lignes directrices du CEPD ?

31 octobre 2022 | Derriennic Associés|

Le 18 octobre dernier, le CEPD a publié et soumis à consultation publique des nouvelles lignes directrices sur la notification des violations de données à caractère personnel. En réalité, il s’agit d’une simple mise à jour des exigences concernant la notification d’une violation de données par un organisme non établi dans l’UE.

Pour mémoire, des lignes directrices sur la notification des violations des données à caractère personnel, référencées « WP250 (rev.01) », avaient été approuvées par le CEPD le 25 mai 2018.

Le 18 octobre dernier, le CEPD a publié des nouvelles lignes directrices référencées « Lignes directrices 09/2022 sur la notification de violation de données en application du RGPD ».

Ces lignes directrices consistent, en réalité, en une « légère mise à jour » des lignes directrices « WP250 (rev.01) ».

En sus de modifications purement rédactionnelles, la mise à jour apporte une, et une seule, modification de fond concernant les exigences de notification pour les organismes situés hors UE.

Pour rappel, des organismes non établis dans l’UE sont soumis aux obligations de notification en cas de violation concernant un traitement de données à caractère personnel de personnes situées dans l’UE (traitement entier avec une offre de biens ou de services ou le suivi de leur comportement au sein de l’UE).

Au regard des actuelles lignes directrices (WP250 (rev.01)), il est prévu que l’organisme notifie la violation de données personnelles « à l’autorité de contrôle de l’Etat membre dans lequel son représentant désigné dans l’UE est établi ».   

La nouvelle version proposée par le CEPD (09/2022), propose un mécanisme radicalement différent : « la simple présence d’un représentant dans un État membre ne déclenche pas le système du guichet unique. C’est pourquoi la violation devra être notifiée à l’autorité de contrôle de chaque Etat membre dans lequel les personnes concernées résident ».

En d’autres termes, la proposition revient à exiger d’un organisme établi hors UE de notifier une violation de données personnelles (i) non pas auprès de l’autorité de contrôle de l’Etat membre dans lequel son représentant de l’UE désigné est établi ; (ii) mais auprès de l’autorité de contrôle de l’Etat membre dans lequel réside les personnes concernées par la violation, c’est à dire potentiellement auprès de plusieurs autorités de contrôle, évitant ainsi le « forum shopping » mais complexifiant d’autant les démarches à réaliser.

A suivre…

Lien vers les guidelines du CEPD : ici