Le 24 février 2023, à la suite d’une consultation publique, le comité européen de la protection des données (EDPB) a publié les trois séries de lignes directrices suivantes adoptées :
- Lignes directrices sur l’interaction entre l’application de l’article 3 et les dispositions relatives aux transferts internationaux conformément au chapitre V du RGPD (05/2021) (version finale) ;
- Lignes directrices sur la certification comme outil de transfert (07/2022) (version finale) ; autre
- Lignes directrices sur les modèles de conception trompeurs dans les interfaces des plateformes de médias sociaux (03/2022) (version finale).
Lignes directrices sur l’interaction entre l’application de l’article 3 et les dispositions sur les transferts internationaux conformément au chapitre V du RGPD
Les lignes directrices 05/2021 cherchent à clarifier l’interaction entre le champ d’application territorial du RGPD, tel que défini à l’article 3, et les dispositions relatives aux transferts internationaux du chapitre V. Comme le note le CEPD, le RGPD ne définit pas ce qui constitue un « transfert de données personnelles ». données à un pays tiers ou à une organisation internationale ». Le CEPD a donc identifié les trois critères suivants qui, s’ils sont tous remplis, confirment qu’une opération de traitement est un transfert international au sens du chapitre V :
- Un responsable du traitement ou un sous-traitant (« exportateur ») est soumis au RGPD pour le traitement en question ;
- L’exportateur divulgue par transmission ou met autrement les données personnelles, soumises à ce traitement, à la disposition d’un autre responsable du traitement, responsable conjoint du traitement ou sous-traitant (« importateur »); autre
- L’importateur se trouve dans un pays tiers, qu’il soit ou non soumis au RGPD pour le traitement donné conformément à l’article 3, ou qu’il soit une organisation internationale.
À la suite d’une consultation publique, les lignes directrices originales ont été mises à jour et clarifiées à certains égards. La mise à jour la plus importante concernait les responsabilités du responsable du traitement lorsque l’exportateur est un transformateur. En outre, d’autres exemples ont été inclus dans les lignes directrices adoptées pour permettre une meilleure compréhension.
Lignes directrices sur la certification en tant qu’outil de transfert
Les lignes directrices 07/2022 fournissent des orientations quant à l’application de l’article 46, paragraphe 2, point f), du RGPD sur les transferts de données à caractère personnel vers des pays tiers ou vers des organisations internationales sur la base d’une certification. Les lignes directrices sont composées de quatre parties, chacune se concentrant sur des aspects spécifiques concernant la certification en tant qu’outil de transfert, et contiennent une annexe qui comprend des exemples de mesures supplémentaires, conformes à celles énumérées dans les recommandations 01/2020, pertinentes dans le contexte de l’utilisation de la certification comme outil de transfert. Les Lignes directrices ont été mises à jour pour tenir compte des commentaires reçus lors de la consultation publique.
Lignes directrices sur les modèles de conception trompeurs dans les interfaces des plateformes de médias sociaux
Les directives 03/2022 proposent des recommandations pratiques aux concepteurs et aux utilisateurs de plateformes de médias sociaux sur la manière d’évaluer et d’éviter les modèles de conception trompeurs qui violent le RGPD. Aux fins des lignes directrices, les modèles de conception trompeurs sont des interfaces et des parcours utilisateur mis en œuvre sur les plateformes de médias sociaux qui tentent d’influencer les utilisateurs à prendre des décisions involontaires, involontaires et potentiellement préjudiciables, souvent vers une décision qui va à l’encontre des meilleurs intérêts des utilisateurs et en faveur des intérêts de la plate-forme de médias sociaux, concernant le traitement de leurs données personnelles. Les directives fournissent des exemples de types de modèles de conception trompeurs, présentent les meilleures pratiques pour différents cas d’utilisation et contiennent des recommandations spécifiques pour les concepteurs d’interfaces utilisateur qui visent à faciliter la mise en œuvre efficace du RGPD. À la suite d’une consultation publique, les lignes directrices originales ont été mises à jour pour refléter les commentaires reçus, notamment en remplaçant le terme « modèle sombre » par « modèles de conception trompeurs » dans le titre.