Omnibus numérique : des réserves de l’EDPB et du CEPD
Le 10 février, le Comité européen de la protection des données (EDPB) et le Contrôleur européen à la protection des données (CEPD) ont adopté un avis conjoint sur la proposition de règlement Omnibus numérique qui vise à simplifier la réglementation européenne du numérique, notamment le RGPD.
L’EDPB et le CEPD accueillent favorablement plusieurs mesures susceptibles de réduire les obligations administratives et d’accroître la sécurité juridique, notamment :
– la limitation des notifications de violations de données personnelles aux seules violations entraînant un risque élevé pour les personnes et augmentation du délai de notification à 96 heures ;
– la mise en place de modèles et listes communs pour les notifications d’incident et les analyses d’impact (DPIA) ;
– l’introduction d’une exception pour le traitement de certaines données biométriques lorsque les moyens de vérification sont sous le contrôle exclusif de la personne concernée ;
– l’introduction d’une définition de la « recherche scientifique » et la clarification des règles applicables en la matière.
L’avis s’oppose en revanche fermement à la nouvelle définition proposée de la notion de « données à caractère personnel ». Le règlement ajouterait un paragraphe à l’article 4(1) du RGPD précisant :
– qu’une donnée ne serait pas nécessairement personnelle simplement parce – – qu’un tiers peut identifier la personne ;
– qu’une donnée ne serait pas personnelle si l’entité qui la collecte ne peut pas identifier la personne avec les moyens susceptibles d’être raisonnablement utilisés ;
– et que la donnée ne deviendrait pas personnelle pour elle, même si un destinataire ultérieur dispose des moyens d’identification de la personne.
L’avis appelle également à des améliorations sur les sujets suivants :
– des précisions devraient être apportées sur l’appréciation de l’intérêt légitime et le droit d’opposition dans le contexte de l’IA ;
– l’exception pour traitement incident et résiduel de données sensibles pour les modèles d’IA : le champ de la dérogation doit être mieux encadré et assorti de garanties sur l’ensemble du cycle de vie des données ;
– la limitation du droit d’accès : la notion d’abus ne doit pas être liée au simple fait de solliciter l’accès pour un motif non lié à la protection des données, mais par exemple à l’intention abusive ;
– la prise de décision individuelle automatisée : l’interdiction de principe doit être maintenue avec des exceptions clairement définies et nécessaires.
L’EDPB et le CEPD soutiennent enfin les efforts de simplification des règles ePrivacy (notamment pour lutter contre la « consent fatigue » et la prolifération des bannières cookies) ainsi que l’intégration dans le Data Act des règles issues du Data Governance Act et de la directive Open Data et leur rationalisation.
