L'objectif de ce document est de sensibiliser à certains malentendus concernant l'anonymisation, et de motiver ses lecteurs à vérifier les affirmations sur la technologie, plutôt que de les accepter sans cette vérification.
Read Press Release
L'année 2020 a été unique pour le monde et, par extension, pour le Contrôleur européen de la protection des données (CEPD). Comme beaucoup d'autres organisations, le CEPD a dû adapter ses méthodes de travail en tant qu'employeur, mais aussi son travail car la crise sanitaire du COVID-19 a renforcé l'appel à la protection de la vie privée des individus.
Ce rapport annuel donne un aperçu de toutes les activités du CEPD en 2020.
Lire le Rapport Annuel et son Résumé
Lire le Communiqué de Presse
Lire le discours de Wojciech Wiewiórowski présenté à LIBE.
Le résumé du rapport annuel 2020 du CEPD sera disponible dans toutes les langues officielles de l'UE prochainement.
What is the impact of measures taken in response to the COVID-19 pandemic?
Read the EDPB and EDPS Press Release & Joint Opinion
Read the European Data Protection Supervisor's speech to the LIBE Committee
Le CEPD a publié ses commentaires formels sur un paquet de trois propositions législatives pour une Union européenne de la santé. Il approuve une approche européenne unifiée pour faire face aux menaces sanitaires transfrontalières tout en respectant le rôle et les compétences des systèmes de santé nationaux des États membres de l'UE. Dans ces commentaires formels, il prend note des mesures positives prises par la Commission pour renforcer davantage une approche coordonnée en matière de santé et, en particulier, pour élargir les tâches de l'Agence européenne des médicaments et du Centre européen de prévention et de contrôle des maladies. Ces deux organes de l'UE se sont révélés être des atouts essentiels dans la gestion de la pandémie de COVID-19.
Le CEPD recommande que des dispositions spécifiques sur l'application de la loi sur la protection des données soient inclues dans la proposition. De même, le rôle des entités impliquées dans la législation sur la protection des données devrait également être couvert dans la proposition. Plus spécifiquement sur le traitement des « données de santé électroniques en dehors des études cliniques » et des « données en temps réel », une définition claire des « données générées en dehors du cadre des essais cliniques » devrait être inclue et la signification des « données du monde réel » devrait être clarifiée, en spécifiant, au moins, des exemples du type de données concernées et la finalité pour laquelle ces données seront utilisées.
Pour en savoir plus, lisez les commentaires formels du CEPD.
Le CEPD fournit une série de recommandations. En particulier, il conseille de:
- délimiter distinctement les catégories de personnes dont les données personnelles seront traitées, ainsi que de décrire les mesures spécifiques de protection des droits et libertés des personnes concernées, conformément à la législation sur la protection des données;
- identifier clairement les situations dans lesquelles les tâches relevant de la compétence du CEPCM impliqueront le traitement des données à caractère personnel et de mettre en place un mécanisme solide de gouvernance des données qui nécessite l'identification claire des acteurs principaux impliqués dans le traitement des données personnelles.
En ce qui concerne les nouvelles tâches de l’ECDC concernant les plateformes et applications numériques soutenant la surveillance épidémiologique, le CEPD note que ces applications sont susceptibles de présenter des risques élevés pour les droits et libertés des personnes et, par conséquent, nécessitent une évaluation d'impact sur la protection des données, réalisée avant leur déploiement. De plus, le CEPD insiste que les applications de recherche des contacts utilisent des technologies qui renforcent la protection de la vie privée.
En ce qui concerne la tâche de l’ECDC d'établir et d'exploiter un réseau de services nationaux de transfusion sanguine et de transplantation avec les autorités nationales de ce réseau, le CEPD encourage le développement d'un code de conduite pour le traitement des données personnelles en tant qu'outil efficace pour l'échange transfrontalier de ces données, ce qui apporterait plus de clarté et de confiance dans le nouveau système.
Pour en savoir plus, lisez les commentaires formels du CEPD.
Le CEPD recommande de prévoir d'autres actes d'exécution ou actes délégués qui définiraient les rôles des acteurs impliqués dans le traitement des données personnelles via l'utilisation des outils et systèmes informatiques envisagés dans la proposition.
Compte tenu des risques potentiels associés à l'utilisation des systèmes de surveillance et de l'intelligence artificielle, le CEPD recommande que l’ECDC effectue une évaluation des risques avant le déploiement d'une plateforme numérique. Le CEPD souligne également que, à moins que le responsable du traitement ne prenne des mesures pour atténuer le risque dans les cas où l’évaluation d'impact sur la protection des données révèle que le traitement des données personnelles entraînerait un risque élevé pour les droits et libertés des personnes, il existe une obligation de consulter l'autorité de contrôle en vertu de l'article 40 du règlement (UE) 2018/1725.
De manière similaire, mais en ce qui concerne le système d'alerte précoce et de réaction (SAPR), le CEPD réaffirme qu'une évaluation d'impact sur la protection des données devrait être réalisée avant le traitement des données personnelles à l'aide de technologies innovatrices, si le traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes. En outre, le CEPD attire l'attention des législateurs de l'UE sur les lignes directrices 04/2020 de l'EDPB sur l'utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l'épidémie COVID-19 qui fournissent des orientations et des clarifications utiles sur les conditions et les principes entourant l'utilisation des données de localisation et des outils de recherche des contacts de manière proportionnée.
Pour en savoir plus, lisez les commentaires formels du CEPD.
Enfin, en ce qui concerne les trois propositions, le CEPD rappelle que les transferts de données à caractère personnel vers des pays tiers ou des organisations internationales doivent être conformes au règlement (UE) 2018/1725, y compris le chapitre V de ce règlement.
Read the EDPB & EDPS Press Release
Read Opinion
Read blogpost written by the EDPS and EDPB trainees
