Le 14 février 2023, le Comité européen de la protection des données (CEPD) a adopté trois nouvelles lignes directrices portant sur divers aspects de la protection des données, notamment la certification comme outil de transfert, l’articulation entre le champ d’application du Règlement général sur la protection des données (RGPD) et les règles en matière de transfert, ainsi que les moyens d’identifier et d’éviter l’utilisation de designs trompeurs sur les réseaux sociaux. Ces lignes directrices ont été élaborées à la suite de consultations publiques et visent à renforcer la protection des données personnelles et la conformité au RGPD.

1. Lignes directrices sur la certification comme outil de transfert

Les lignes directrices sur la certification comme outil de transfert clarifient l’utilisation du mécanisme de certification pour encadrer les transferts internationaux de données. La CNIL était co-rapporteur pour ces lignes directrices, qui complètent celles sur la définition des critères de certification et celles relatives à l’agrément des organismes de certification. Elles sont divisées en quatre parties, se concentrant sur des aspects spécifiques de la certification en tant qu’outil pour les transferts, tels que l’objectif, le champ d’application, les différents acteurs impliqués, les conseils de mise en œuvre, les critères de certification spécifiques et les engagements contraignants et exécutoires à appliquer.

2. Lignes directrices sur l’articulation entre le champ d’application du RGPD et les transferts de données

Le RGPD ne définit pas la notion de transfert de données vers un pays tiers ou une organisation internationale. Les nouvelles lignes directrices du CEPD clarifient les situations dans lesquelles il est considéré qu’il y a un transfert au sens du RGPD. Trois critères cumulatifs doivent être remplis : un responsable de traitement ou sous-traitant exportateur de données est soumis au RGPD, l’exportateur transmet ou rend disponible ces données à un autre responsable de traitement, co-responsable de traitement ou sous-traitant importateur, et soit cet importateur est dans un pays tiers, même s’il n’est pas soumis lui-même au RGPD, soit il s’agit d’une organisation internationale. Si ces trois critères sont remplis, il s’agit d’un transfert de données au sens du RGPD, ce qui s’accompagne de certaines obligations.

3. Lignes directrices sur les designs trompeurs (deceptive design) dans les réseaux sociaux

Le RGPD pose le principe de loyauté, selon lequel les données personnelles ne peuvent être collectées ou utilisées de manière inattendue ou trompeuse pour les personnes concernées. Les lignes directrices du CEPD sur les designs trompeurs visent à accompagner le développement d’interfaces utilisateur claires et respectueuses des droits des personnes. La CNIL était rapporteur pour ces lignes directrices, qui ont été soumises à consultation publique jusqu’en mai 2022.

Suite à la consultation publique, plusieurs modifications ont été apportées aux lignes directrices sur les designs trompeurs :

• La classification des cas de « deceptive design patterns » a été alignée avec des publications récentes d’acteurs sur les designs trompeurs, notamment en ce qui concerne leurs définitions.
• Des cas d’usage ont été modifiés pour clarifier certaines recommandations et ajouter des renvois vers d’autres ressources.
• La liste de bonnes pratiques a été étoffée avec de nouveaux éléments tels que les tables de bord « vie privée », les URL auto-explicatives pour le paramétrage de la protection des données et des formulaires pour l’exercice des droits des personnes concernées. L’annexe II a également été ajoutée pour donner un rapide panorama de ces bonnes pratiques.