La Commission nationale de l’informatique et des libertés (CNIL) a partagé son point de vue sur le futur règlement contre les abus sexuels sur mineur, jeudi 29 février. Ce dernier a fait l’objet d’une séance plénière du Comité européen de la protection des données (CEPD) qui a adopté le 14 février une déclaration sur la proposition de règlement. À la suite de cet avis, la présidence belge du Conseil de l’Union européenne a indiqué qu’elle présentera le 1er mars des modifications sur ce règlement.

Si le CEPD salue l’avancée que représente l’exemption des communications chiffrées de bout-en-bout des injonctions de détection, il note des points qui pourraient porter atteinte à la vie privée. « En l’état, la portée des injonctions de détection est trop générale et n’offre aucune garantie quant au fait qu’elles viseront uniquement les personnes susceptibles d’être impliquées dans la transmission de matériel pédopornographique », souligne la CNIL. En effet, cela pourrait entraîner une surveillance généralisée des communications privées.

Le comité appelle ainsi les législateurs à s’assurer que la proposition de loi respecte bel et bien les droits fondamentaux à la protection des données et au respect de la vie privée. Deux points qui doivent être pris en compte dans le prochain avis de la présidence belge. Ce dernier doit apporter des précisions sur le ciblage des injonctions de surveillance.

Le CEPD a également clarifié la notion d’établissement principal du responsable de traitement. Cela joue sur l’application du guichet unique, une procédure qui vise à harmoniser les décisions des autorités de protection des données européennes concernant les traitements transfrontaliers.

L’avis du CEPD estime que l’administration centrale peut être considérée comme établissement principal uniquement si l’entité prend les décisions quant aux objectifs et aux moyens du traitement des données personnelles ; et si elle dispose du pouvoir de faire appliquer les décisions.

Dans le cas où le responsable de traitement est situé en dehors de l’Union européenne et qu’aucun établissement de l’Union ne dispose de pouvoir décisionnel sur les moyens et finalités de traitement, le guichet unique ne s’applique donc pas. Il revient alors au responsable de traitement de prouver la qualification de l’un de ses établissements comme « établissement principal au sein de l’Union européenne ». Le CEPD souligne l’obligation de coopération du responsable de traitement tout en rappelant que les autorités de contrôle européennes peuvent remettre en cause les éléments de preuve qu’il présente.