Dans le cadre d’une réunion plénière s’étant déroulée le 12 juillet 2022, le Comité européen de la protection des données (CEPD), regroupant les 27 autorités nationales de protection des données des pays membres de l’UE, et le contrôleur européen de la protection des données, ont identifié plusieurs cas stratégiques nécessitant une collaboration accrue. Les CNIL européennes ont aussi profité de cette réunion pour donner leur avis sur le futur espace européen des données de santé.

Les CNIL européennes ont défini le concept de cas stratégique

Pendant la réunion, le CEPD a défini une liste de critères permettant d’identifier des cas transfrontaliers stratégiques pour lesquels il souhaite que l’ensemble des autorités nationales puissent collaborer pour mettre en place des actions de mise en conformité. Afin que ces cas soient considérés comme stratégiques, ils doivent tout d’abord répondre à un ou plusieurs de ces critères :

  • Le cas est lié à un problème structurel ou récurrent dans plusieurs États membres, en particulier s’il soulève une question juridique générale relative à l’interprétation, l’application ou la mise en œuvre du règlement général sur la protection des données personnelles (RGPD).
  • Le cas concerné est situé à l’intersection de la protection des données et d’autres domaines juridiques.
  • Un grand nombre de personnes, dans plusieurs États membres, sont concernées par ce cas.
  • De nombreuses plaintes ont été reçues dans plusieurs États membres en lien avec ce cas.
  • Le cas soulève une question fondamentale relevant de la stratégie du CEPD.
  • Le cas peut entraîner un risque élevé au regard du RGPD, notamment si : des données sensibles sont traitées, des personnes vulnérables, telles que les mineurs, sont concernées, ou si une analyse d’impact sur la protection des données (AIPD) est requise pour le traitement concerné.

Si le cas possède l’un de ces critères, il sera soumis à deux étapes supplémentaires d’analyse, qui permettront officiellement de confirmer si celui-ci est stratégique ou non aux yeux de la CEPD. Une phase de sélection rapide permettra d’expérimenter rapidement si la procédure de coopération peut fonctionner, et une phase structurelle permettra de valider officiellement la notion stratégique du cas à traiter.

Comme la Commission nationale de l’informatique et des libertés (CNIL) le précise dans son communiqué, « ces travaux s’inscrivent dans la continuité de la déclaration sur la coopération européenne par laquelle les autorités de l’UE avaient réitéré leur engagement pour une coopération transfrontalière plus étroite et plus collective, notamment en vue d’avoir des procédures plus rapides et structurantes à l’encontre d’acteurs majeurs du numérique ».

Pour l’heure, trois premiers cas stratégiques pilotes, non précisés, ont été identifiés. Pour ces affaires, la coopération des autorités nationales de protection des données sera renforcée. Pour l’heure, aucune information n’a été divulguée autour de la nature de ces cas.

La CEPD donne son avis sur le futur espace européen des données de santé

Le 19 juillet 2022, la Commission européenne annonçait que le Health Data Hub, une plateforme permettant de centraliser un énorme volume de données en lien avec la santé, serait l’entité qui gérerait le projet pilote sur l’espace européen des données de santé. Quelques jours avant cette décision, le CEPD avait donné son avis sur la future réglementation relative à la création d’un tel espace pour les données de santé.

Le comité et le contrôleur européen des données personnelles ont évoqué plusieurs points les préoccupant. Ils invitent notamment les législateurs à se prononcer pour la localisation des données de santé sur le territoire de l’UE , à clarifier les interactions entre le projet et le RGPD, et à retenir la compétence exclusive des autorités de protection des données dans le traitement de toute question relative à la protection des données personnelles.

Le choix du Health Data Hub par la Commission européenne peut paraître surprenant à la vue des recommandations du CEPD. La plateforme est toujours hébergée par Microsoft Azure, un choix remis en question par de nombreux acteurs du numérique et des politiques, dont l’association Anticor, et rendu contestable depuis que le Privacy Shield, qui devait autoriser les transferts de données de l’Europe aux États-Unis et vice-versa, a été invalidé.