1. Avis et document de travail du Groupe de l’article 29 (ou G29)
Intérêt légitime. L’avis 06/2014 sur l’intérêt légitime précise les conditions à remplir et les étapes à suivre par le responsable de traitement lorsqu’il recourt à cette notion en application de l’article 7(f) de la directive 1995/46/CE (transposé en France à l’article 7 (5) de la loi informatique et libertés). L’avis passe aussi en revue les autres fondements visés à l’article 7 (a) à (h) de la directive permettant le traitement de données personnelles. Il s’agit de garantir que les autres bases légales pour le traitement de données – notamment celles relatives au consentement préalable – ne sont pas écartées par une invocation systématique de l’intérêt légitime. Le G29 recommande d’insérer dans le règlement européen un considérant précisant les critères à prendre en considération par le responsable de traitement.
Données Anonymisées. Avis 05/2014 sur les techniques d’anonymisation. Le G29 examine différentes techniques d’anonymisation (de façon assez technique) et formule des recommandations afin d’aider les sociétés à faire le bon choix.[[2]]url:#_ftn2
Clauses Types. Le G29 a publié un projet de clauses types sous-traitant/sous-traitant (pour les transferts de données par un sous-traitant basé dans L’UE vers un sous-traitant hors de l’UE et les transferts ultérieurs, pour le compte d’un responsable de traitement, a priori lui-même basé dans l’UE).
Affaire Prism. Avis 04/2014 sur la surveillance des citoyens européens qui fait suite aux révélations sur le programme Prism. Il appelle à plus de transparence dans les activités des services de renseignement et à un contrôle renforcé de ces activités[[4]]url:#_ftn4 .
2. Lettres du G 29
Safe Harbor. 10 avril 2014, lettre du G29 à la Vice-Présidente Viviane Reding sur les actions prévues en novembre 2013 par la Commission européenne pour « restaurer la confiance dans les flux de données entre l’Union européenne et les États-Unis »[1]. Le G29 souligne la nécessité de renforcer les garanties offertes par le Safe Harbor, qui aujourd’hui n’apporte pas une protection adéquate, et fait des recommandations précises à cet effet. Il indique que si le processus de révision en cours entre la Commission et les autorités américaines ne connaît pas une issue positive, l’accord Safe Harbor devrait être suspendu.[[6]]url:#_ftn6
Contrats pour les transferts internationaux. 02 avril 2014, lettre du G29 à Microsoft sur une nouvelle version d’un contrat de traitement des données personnelles joint au contrat de souscription des services en ligne de la société (Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement” and its Annex I). Cette lettre est intéressante en ce qu’elle reconnait au contrat une valeur équivalente aux clauses types de la Commission européenne.
3. Décision de la CJUE
Données de connexions et directive rétention. Le 8 avril, la CJUE a invalidé la directive 2006/24/CE sur la rétention des données de connexion, estimant que ce texte constitue une ingérence dans les droits fondamentaux, en particulier le droit au respect à la vie privée et à la protection des données à caractère personnel et donc contraire aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. Si cette décision importante ne semble pas remettre en cause les législations des États membres (et donc les articles L34- 1 et L 34-1-1 du code des poste et télécommunications), il revient aux autorités nationales et européennes compétentes d’étudier son impact sur les droits nationaux.
[1]Communiqué de presse de la Commission en français http://europa.eu/rapid/press-release_MEMO-13-1059_fr.htm