accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Data act : le Contrôleur et le Comité européens de la protection des données invitent les co-législateurs à modifier le texte

AAI
CEPD, communiqué, 5 mai 2022
[10.05.2022]

Alors que la Commission européenne a présenté en février dernier le contenu du futur règlement établissant des règles harmonisées en matière d'accès et d'utilisation équitables des données (V. Data act : la Commission européenne dévoile le contenu du projet de règlement sur l'utilisation des données), le Contrôleur et le Comité européen de la protection des données (respectivement EDPS ou CEPD et EDPB) ont rendu leur avis conjoint sur le texte. Ils souhaitent attirer l'attention sur un certain nombre de préoccupations et exhorter les co-législateurs européen à amender le texte lors de son examen pour maintenir un haut niveau de protection des droits à la vie privée et des données personnelles.

L'avis rappelle que le futur Data act s'appliquera aux données générées par une large gamme de produits et services, y compris l'internet des objets, les dispositifs médicaux et de santé et les assistants virtuels. Cependant, comme la proposition n'exclut pas explicitement certains types de données de son champ d'application, des données révélant des informations hautement sensibles sur les individus pourraient faire l'objet d'un partage et d'une utilisation non respectueuse du RGPD, mais pour autant pas illégale au regard du Data act. Le Comité et le Contrôleur soulignent, en outre, que le texte tel que proposé par la Commission ne prévoit aucun garde-fou pour atténuer ces effets potentiellement importants.

Les deux institutions formulent plusieurs recommandations afin d'améliorer la proposition de règlement :

• restreindre l'utilisation des données générées par l'utilisation d'un produit ou d'un service par toute personne autre que les personnes concernées elles-mêmes, en particulier lorsque les données permettraient de tirer des conclusions précises sur la vie privée des personnes concernées ou présenteraient autrement des risques élevés pour les droits et libertés des individus ;

• définir des limites claires à l'utilisation des données à des fins telles que la surveillance des employés ; le calcul des primes d'assurance ; la cote de solvabilité ; et le marketing direct ou la publicité ;

• distinguer les droits des personnes concernées d'accéder et d'utiliser les données générées par leur propre utilisation de produits ou de services, et les éventuels droits et obligations d'autres acteurs. L'accès et le partage de données personnelles avec des personnes autres que la personne concernée ne devraient être possibles que si toutes les exigences du RGPD et de la confidentialité électronique sont respectées ;

• préciser qu'en ce qui concerne les données à caractère personnel, l'autorisation du titulaire des données à les partager ne remplace pas l'exigence d'avoir une base légale pour le traitement en vertu du RGPD ou, alternativement, préciser que certaines dispositions ne s'appliquent qu'au traitement de données à caractère non personnel ;

• définir quand et quelles catégories de données peuvent être utilisées par les autorités publiques et les organismes du secteur public en cas d'urgence ou dans des circonstances exceptionnelles et dans quelles conditions ;

• attribuer aux autorités nationales de protection des données, qui selon la loi proposée, devraient surveiller l'application de la loi sur les données en ce qui concerne les données à caractère personnel, des compétences en matière de coordination. Ces autorités de coordination seraient responsables de l'application du chapitre VI de la loi sur les données réglementant le changement de fournisseur de traitement de données pour résoudre les problèmes de verrouillage des fournisseurs sur les marchés de l'informatique en nuage et de pointe. Le Comité et le Contrôleur avertissent que la désignation de toute autre autorité pourrait affecter l'application cohérente du RGPD parallèlement à la loi sur les données et entraîner une réelle complexité pour les acteurs numériques et les personnes concernées.

Enfin, l'avis souligne également des incohérences avec la loi sur les marchés numériques (DMA, V. Législation sur les services numériques : accord entre le Conseil et le Parlement européen) et la loi sur la gouvernance des données (DGA, V. Le Parlement européen approuve de nouvelles règles pour stimuler le partage des données au sein de l'UE). Il fournit des recommandations spécifiques pour mieux aligner le Data act sur ces textes.