La « fabrique » des lignes directrices relatives au Règlement Général sur la Protection des Données (RGPD)

Les 5 et 6 avril 2017, la Présidence du G29 (Groupe de travail qui réunit principalement l’ensemble des vingt-huit autorités de protection des données personnelles de l’Union européenne) a tenu à Bruxelles son deuxième Fablab. Une centaine de personnes étaient présentes pour participer à trois ateliers portant sur le consentement, le profilage et la notification des failles de sécurité. Ce Fablab faisait suite à une première édition qui s’était tenue en juillet 2016 et qui avait permis d’alimenter la réflexion des « Cnils » européennes sur quatre sujets : la certification et les labels, les délégués à la protection des données, les analyses d’impact relatives aux données personnelles et le droit à la portabilité des données.

Pour rappel, les fablabs participent du processus de mise en œuvre du Règlement Général Données Personnelles (RGPD) à travers la publication de lignes directrices.

> Voir l'article de Claire Levallois-Barth - Données personnelles : une réforme européenne pour un 21e siècle numérique

Ces lignes directrices sont élaborées en recourant à une méthode inédite.

Tout d’abord, les thèmes de travail sont sélectionnés par le G29. Une consultation publique est ensuite organisée sur le site de la Cnil. Puis le contenu du texte est discuté lors d’un Fablab à Bruxelles avec les représentants des autorités de protection des données, la société civile et les industriels. Une première version des lignes directrices est ensuite publiée (v1). Elle est soumise à une deuxième consultation des parties prenantes, pour aboutir à la publication d’une deuxième version (v2).

Actuellement, trois lignes directrices ont été adoptées en v2 le 5 avril 2017 (disponibles uniquement en anglais). Elles concernent :

  • Le droit à la portabilité (data portability),
  • Le délégué à la protection des données (Data Protection Officer),
  • L’autorité chef de file (lead authority).

Les lignes directrices sur l’analyse d’impact (Data Protection Impact Assessment – DPIA) ont été adoptées en v1 le 4 avril 2017. Et l’on attend celles portant sur la certification, le consentement, le profilage et la notification des violations de données.

Pour consulter les lignes directrices : www.cnil.fr/fr/reglement-europeen/lignes-directrices

Claire Levallois-Barth
Coordinatrice de la Chaire, Maître de conférences en droit à Télécom ParisTech

Commentaires Clos.