Les avis du CEPD
Long et complexe, le texte du RGPD nécessite d’être éclairé et complété par des éléments de doctrine. Au premier rang de ceux-ci figurent les lignes directrices formalisées par le Comité européen de la protection des données (CEPD), qui a remplacé le G29 le 25 mai 2018
Après avoir proposé le Règlement Général de Protection des Données en version indexée et annotée, l’association AFCDP qui regroupe et représente les DPO met à disposition des Délégués à la protection des données les lignes directrices du CEPD, sur des sujets tels que la gestion des violations de données personnelles, le consentement, la portabilité des données ou les prises de décisions individuelles automatisées.
L’AFCDP met gracieusement ce nouvel outil à la disposition de la communauté des DPO sur son site web au format .pdf.
Plusieurs des lignes directrices comprises dans le fascicule de l’AFCDP sont issues des travaux du G29, que le CEPD a remplacé.
Les lignes directrices du G29 (et maintenant du CEPD) apportent des clarifications et précisions précieuses. Ainsi, c’est dans les lignes directrices consacrées aux sanctions (WP253) que l’on découvre que la mise en œuvre d’un traitement « contre l’avis du délégué à la protection des données » est pris en compte par les autorités de contrôle pour décider de la nature et de la portée d’une éventuelle sanction.
L’AFCDP, qui a fait entendre au niveau européen la voix des professionnels concernés dès 2012, est fière de retrouver dans plusieurs de ces lignes directrices des suggestions qu’elle a formulées à l’occasion des appels à contributions, comme le fait de conserver le bilan annuel du DPO en tant que bonne pratique : « l’élaboration d’un rapport annuel sur les activités du DPD destiné au niveau le plus élevé de la direction constitue un autre exemple de reddition de compte directe » (page 18 du WP 243).
Ce recueil, appelé à figurer sur toutes les tables de travail des DPO, a été préparé par Patrick Blum, DPO et RSSI de l’Essec et Vice-président de l’AFCDP et Bruno Rasle, Délégué général de l’AFCDP. « Compte-tenu de l’importance des sujets qu’elles abordent, nous avons décidé d’inclure les lignes directrices sur l’anonymisation (WP216), la notion d’intérêt légitime (WP217) et sur les notions de responsable de traitement et de sous-traitant (WP169) » indique Patrick Blum.
Ce document constitue le deuxième volume du « Référentiel légal et documentaire » publié par l’AFCDP.
Cette collection est composée des documents suivants :
- Tome 1 : RGPD annoté et commenté, avec index
- Tome 2 : Recueil des principales lignes directrices du G29 et du CEPD
- Tome 3 : La Loi Informatique et Libertés et la législation française (texte de la LIL4 et des décrets, annoté, commenté et indexé)
- Tome 4 : Autres textes réglementaires européens - Déclaration des droits numériques - DMA - DSA - DGA - DA - AIA
(Commander la version brochée)