Bruxelles,le 14 février — Lors de sa dernière session plénière,l’EDPB a adopté un avis sur la notion d’établissement principal et sur les critères d’application du mécanisme «One-Stop-Shop», à la suited’ une demande de l’autorité française de protection des données au titre de l’article 64, paragraphe 2, du RGPD. L’avis clarifie la notion d’«établissement principal» du responsable du traitement dans l’UE, en particulier dans les cas où des décisions concernant le traitement sont prises en dehors de l’UE.
Le président de l’EDPB, Anu Talus, a déclaré: «La notion d’établissement principal est l’une des pierres angulaires du One-Stop-Shop. Il est essentiel de déterminer laquelle, le cas échéant, est l’autorité de contrôle chef de file dans les affaires transfrontières de protection des données. L’avis de l’EDPB apporte un éclairage supplémentaire sur les conditions dans lesquelles les responsables du traitement peuvent accéder au guichet unique et fournit des orientations supplémentaires pour les APD lorsqu’ils déterminent quelle DPA est en tête».
Dans son avis, l’EDPB considère que le «lieu de l’administration centrale» d’un responsable du traitement dans l’UE ne peut être considéré comme un établissement principal en vertu de l’article 4, paragraphe 16, point a), du RGPD que s’il prend les décisions relatives aux finalités et aux moyens du traitement des données à caractère personnel et s’il a le pouvoir de faire appliquer ces décisions. L’EDPB explique en outre que le mécanisme One-Stop-Shop ne peut s’appliquer que s’il est prouvé que l’un des établissements du responsable du traitement dans l’Union prend des décisions sur les finalités et les moyens des opérations de traitement pertinentes et qu’il a le pouvoir de faire appliquer ces décisions. Cela signifie que, lorsque les décisions sur les finalités et les moyens du traitement sont prises en dehors de l’UE, il ne devrait pas y avoir d’établissement principal du responsable du traitement dans l’Union et, par conséquent, le guichet unique ne devrait pas s’appliquer.
Le présent avis est le dernier d’une série de mesures concrètes prises par le comité européen de la protection des données à la suite de sa déclaration de Vienne sur l’application transfrontière, visant à rationaliser l’application et la coopération entre les APD.
Ensuite, le CEPD a adopté une déclaration sur l’évolution de la législation concernant la proposition de règlement établissant des règles pour prévenir et combattre les abus sexuels commis sur des enfants. La déclaration fait suite à l’avis conjoint EDPB- EDPS sur la proposition de règlement de la Commission européenne et se concentre sur les derniers développements législatifs, en particulier la position du Parlement européen de novembre 2023.
L’EDPB se félicite des nombreuses améliorations proposées par le Parlement, telles que l’exemption des communications cryptées de bout en bout des ordres de détection. Toutefois, le CEPD regrette que le texte proposé par le Parlement ne semble pas résoudre pleinement les questions importantes signalées par le CEPD et le CEPD en ce qui concerne le suivi général et aveugle des communications privées, en particulier en ce qui concerne l’émission d’injonctions de détection.
Le président de l’EDPB, Anu Talus, a déclaré: «Lesabus sexuels commis sur des enfants constituent un crime particulièrement odieux et nécessitent des solutions efficaces. Il est important que tout nouvel instrument juridique soit sans ambiguïté et respecte les droits fondamentaux à la vie privée et à la protection des données. Un niveau excessif d’accès aux communications en ligne porterait atteinte à ces principes importants et pourrait avoir des répercussions négatives sur les droits et la sécurité des adultes et des enfants; nous devons faire très attention aux actions qui, en fin de compte, font plus de mal que de bien. Le CEPD est d’avis que le libellé proposé par le Parlement devrait fournir des garanties appropriées que les injonctions de détection seront suffisamment ciblées pour garantir qu’elles puissent protéger les victimes sans affecter de manière disproportionnée les droits et libertés protégés par le droit de l’Union.»
L’EDPB souligne l’importance de limiter davantage le risque que ces injonctions touchent des personnes peu susceptibles d’être impliquées dans des infractions liées à des abus sexuels commis sur des enfants. En outre, l’EDPB regrette que les ordonnances de détection ne se limitent pas aux matériels pédopornographiques (CSAM) déjà connus des autorités, bien que les technologies utilisées pour détecter les nouvelles CSAM se soient avérées avoir des taux d’erreur significatifs dans le passé.
Au cours de la plénière, le comité européen de la protection des données a également examiné le champ d’application des orientations relatives au modèle de consentement ou de rémunération. Outre l’avis à venir au titre de l’article 64, paragraphe 2, qui traitera du modèle de consentement ou de paiement dans le contexte des grandes plateformes en ligne, il a été convenu qu’il était nécessaire d’élaborer successivement des lignes directrices ayant un champ d’application plus large.
Enfin, le comité européen de la protection des données a désigné plusieurs représentants pour participer, respectivement, à l’ équipe d’examen du cadre de protection des données de la Commission européenne, au sous-groupe de haut niveau de la législation sur les marchés numériques sur l’article 5, paragraphe 5, de la loi sur les services numériques et à la task-force de la législation sur les services numériques sur la vérification de l’âge.
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.