Réforme « Digital Omnibus »

Bien que ces évolutions ne remettent pas en cause l’architecture générale du règlement, elles introduisent des ajustements substantiels sur plusieurs points sensibles de la conformité, notamment la qualification des données à caractère personnel, le régime applicable à certaines catégories particulières de données, les obligations en matière d’analyse d’impact relative à la protection des données (AIPD), ainsi que les notifications de violations de données.

‍

Les principales modifications attendues, dont certaines pourraient avoir des effets opérationnels significatifs sur la documentation de conformité, sont les suivantes :

‍

1. Définition des données à caractère personnel
La proposition précise qu’une information n’est pas considérée comme une donnée à caractère personnel pour une entité donnée lorsque cette entité ne dispose pas de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne concernée. Cela restreint le champ d’application du RGPD pour les acteurs qui ne peuvent pas, de manière réaliste, réidentifier les données.

‍

2. Catégories particulières de données
Les modifications apportées à l’article 9 recentrent l’interdiction sur les données qui révèlent directement un attribut sensible. Deux nouvelles exceptions sont introduites :

• L’utilisation de données biométriques pour confirmer l’identité lorsque les moyens restent sous le contrôle exclusif de la personne concernée ;
• Le traitement résiduel de données relevant des catégories particulières pour le développement et l’exploitation de systèmes/modèles d’IA, sous réserve de mesures organisationnelles et techniques strictes visant à détecter, éviter et supprimer ces données.

‍

3. AIPD – modèles et critères harmonisés au niveau de l’UE
La proposition introduit une modification structurelle majeure :

• Le CEPD devra élaborer des listes applicables à l’échelle de l’UE des traitements nécessitant et ne nécessitant pas d’AIPD ;
• Le CEPD devra proposer une méthodologie commune d’AIPD ainsi qu’un modèle harmonisé à l’échelle de l’UE ;
• La Commission reçoit des compétences d’exécution pour adopter ces modèles.

‍

Cela supprimera les divergences nationales et standardisera les critères de risque des AIPD dans toute l’UE.

‍

Impact sur le registre des activités de traitement :
Bien que l’article 30 du RGPD ne soit pas modifié, ces évolutions imposeront en pratique aux responsables du traitement de réaligner la structure de leur registre des activités de traitement afin que :

• Les traitements à haut risque soient identifiés de manière cohérente (sur la base de la nouvelle liste de l’UE) ;
• La traçabilité entre les entrées du registre et les AIPD soit assurée ;
• Les champs du registre correspondent au futur modèle obligatoire d’AIPD (finalités, catégories de données, destinataires, transferts, garanties, niveaux de risque).

‍

4. Notifications de violations de données

• La notification aux autorités ne deviendra obligatoire qu’en cas de violation à haut risque (et non plus pour tout risque).
• Le délai est porté à 96 heures.
• Les responsables du traitement devront utiliser le point d’entrée unique de l’UE opéré par l’ENISA.
• Le CEPD préparera un modèle unique de notification à l’échelle de l’UE.

‍

5. Obligations d’information (article 13)
Les responsables du traitement n’auront pas à fournir l’information lorsque l’on peut raisonnablement considérer que la personne concernée la possède déjà, sauf lorsque :

• Les données sont partagées avec des destinataires,
• Les données sont transférées hors de l’UE,
• Une prise de décision automatisée est mise en œuvre,
• Ou que le traitement est susceptible de présenter un risque élevé.

‍

6. Prise de décision automatisée (article 22)
Il est précisé que la condition de « nécessité à l’exécution du contrat » ne dépend pas du point de savoir si une alternative humaine pourrait exister.

‍

7. Alignement avec le règlement ePrivacy
Le traitement des données à caractère personnel sur ou à partir des équipements terminaux sera intégralement aligné sur le RGPD (nouvel article 88a), des paramètres automatisés et lisibles par machine définis par l’utilisateur ayant vocation à remplacer les bandeaux cookies dès lors que des standards seront disponibles.