Bruxelles, le 5 juin - Le 4 juin, les autorités de l’EEE chargées de la protection des données et le contrôleur européen de la protection des données, rassemblés au sein du Comité européen de la protection des données, se sont réunis à l’occasion de leur onzième séance plénière. Au cours de cette séance, un large éventail de sujets a été examiné.
Lignes directrices sur les codes de conduite
Le Comité européen de la protection des données a adopté la version finale des lignes directrices concernant les codes de conduite. À la suite d’une consultation publique, des éclaircissements ont été intégrés dans le texte. L’objectif de ces lignes directrices est de fournir des orientations pratiques et une aide à l’interprétation en ce qui concerne l’application des articles 40 et 41 du RGPD. Les lignes directrices visent à clarifier les procédures et les règles relatives à la soumission, à l’approbation et à la publication de codes de conduite, tant au niveau national qu’au niveau européen. Ces lignes directrices devraient également offrir un cadre clair permettant à toutes les autorités de contrôle compétentes, au Comité européen de la protection des données et à la Commission d’évaluer les codes de conduite de manière cohérente et de rationaliser les procédures associées au processus d’évaluation.
Annexe des lignes directrices sur l’agrément
Le Comité européen de la protection des données a adopté la version finale de l’annexe des lignes directrices sur l’agrément, à la suite d’une consultation publique. Le texte a été revu pour plus de clarté. L’objectif des lignes directrices est de fournir des orientations sur l’interprétation et la mise en œuvre des dispositions de l’article 43 du RGPD. Ces lignes directrices visent notamment à aider les États membres, les autorités de contrôle et les organismes nationaux d’accréditation à mettre en place des normes de référence cohérentes et harmonisées pour l’agrément des organismes de certification qui délivrent une certification conformément au RGPD. L’annexe fournit des orientations sur les exigences supplémentaires relatives à l’agrément des organismes de certification que les autorités de contrôle doivent établir. Ces exigences supplémentaires, avant d’être adoptées par les autorités de contrôle, doivent être soumises au Comité européen de la protection des données pour approbation, en application de l’article 64, paragraphe 1, point c).*
Annexe des lignes directrices sur la certification
Le Comité européen de la protection des données a adopté la version finale de l’annexe 2 des lignes directrices sur la certification. À la suite d’une consultation publique, certains aspects ont été ajoutés dans plusieurs sections, par exemple la question de savoir si les critères mentionnent l’obligation faite au responsable du traitement/sous-traitant de désigner un DPD et l’obligation de tenir un registre des activités de traitement. Le but primordial de ces lignes directrices est de définir des critères généraux pouvant s’appliquer à tous les types de mécanisme de certification mis en place conformément aux articles 42 et 43 du RGPD. L’annexe recense les thèmes que les autorités de contrôle de la protection des données et le Comité européen de la protection des données examineront et appliqueront pour l’approbation des critères de certification pour un mécanisme de certification. La liste n’est pas exhaustive, mais présente les thèmes minimaux à prendre en considération.*
Note aux éditeurs
* À titre d’étape suivante, avant que des dossiers spécifiques concernant la certification et l’agrément puissent être examinés au niveau du Comité européen de la protection des données, le Comité européen de la protection des données est en train d’élaborer une procédure visant à faciliter l’émission, en temps utile, d’avis cohérents sur les projets de décisions des autorités de contrôle et à approuver les labels européens de protection des données.
Veuillez noter que tous les documents adoptés dans le cadre de la séance plénière du Comité européen de la protection des données font l’objet des contrôles juridiques, linguistiques et de formatage nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces contrôles effectués.