Comment appliquer les lignes directrices du CEPD ?

Le RGPD est un texte long et complexe qui nécessite d’être éclairé et complété par des éléments de doctrine. Au premier rang de ceux-ci figurent les lignes directrices formalisées par le Comité européen de la protection des données (CEPD), qui a remplacé le G29 le 25 mai 2018.

Les lignes directrices du G29 (et maintenant du CEPD) apportent en effet des clarifications et précisions précieuses. Ainsi, c’est dans les lignes directrices consacrées aux sanctions (WP253) que l’on découvre que la mise en œuvre d’un traitement « contre l’avis du délégué à la protection des données » est pris en compte par les autorités de contrôle pour décider de la nature et de la portée d’une éventuelle sanction.

Le guide élaboré par par Patrick Blum, DPO et RSSI de l’Essec et Vice-président de l’AFCDP et Bruno Rasle, Délégué général de l’AFCDP met à disposition des Délégués à la protection des données les lignes directrices du CEPD, sur des sujets tels que la gestion des violations de données personnelles, le consentement, la portabilité des données ou les prises de décisions individuelles automatisées.

« Compte-tenu de l’importance des sujets qu’elles abordent, nous avons décidé d’inclure les lignes directrices sur l’anonymisation (WP216), la notion d’intérêt légitime (WP217) et sur les notions de responsable de traitement et de sous-traitant (WP169) » indique Patrick Blum.