Le RGPD donne toujours de nouvelles raisons de se disputer sur la bonne exécution de la protection des données. Par exemple, il existe toujours un désaccord sur la manière dont les destinataires des données doivent être concrètement indiqués dans une déclaration de protection des données.
Découvrez ici les avis exprimés et la meilleure façon de résoudre le problème dans votre déclaration de confidentialité.
Que dit le RGPD concernant la mention des destinataires des données ?
Le RGPD stipule à l'article 13 I, lettre e, et à l'article 14 I, lettre e, que la personne concernée doit être informée "des destinataires ou des catégories de destinataires des données à caractère personnel". Le mot "ou" pose ici problème, car il suggère que le responsable peut choisir d'indiquer comme destinataire, par exemple, "sous-traitant conformément à l'article 28 du RGPD" ou "entreprise xy". En réalité, les spécialistes de la protection des données ne sont pas d'accord sur la question de savoir si le responsable peut choisir librement. On peut notamment se demander dans quelle mesure le principe de transparence contraint ici le responsable à une désignation concrète.
Comment les autorités de contrôle interprètent-elles le RGPD dans ce cas ?
Même les autorités de contrôle chargées de la protection des données ne sont pas d'accord sur l'interprétation de ces dispositions.
Le délégué à la protection des données et à la liberté d'information du Land de Hesse interprète les dispositions de manière restrictive. Les destinataires des données doivent être désignés le plus concrètement possible, surtout dans le domaine de la santé. L'autorité tranche donc en faveur de la transparence et rejette le libre choix du responsable lors de la désignation des destinataires.
Le commissaire à la protection des données du Land de Basse-Saxe ne s'engage pas sur l'interprétation. Cela donne l'impression que l'on se prononce en faveur d'un libre choix du responsable. La conférence sur la protection des données (DSK) donne la même impression en se contentant de répéter le texte de la loi dans un document succinct.
Comment les règles sont-elles interprétées par ailleurs ?
L'ancien groupe de travail "Article 29" a également pris position. Dans une ligne directrice qu'il a rédigée, le groupe se prononce en faveur d'une transparence maximale, mais contre une obligation absolue de désignation concrète. Au lieu de cela, le groupe recommande simplement de formuler les informations "aussi précisément que possible".
Comment faut-il indiquer les destinataires des données dans la pratique ?
En tant que responsable de la protection des données, le plus sûr est de se soumettre à l'avis le plus strict. Dans ce cas, cela signifie toujours désigner concrètement les destinataires des données. Les données sont alors transparentes au maximum.
Si, dans un cas particulier, le responsable n'indique qu'une seule catégorie de destinataires, il est conseillé de formuler cette indication de la manière la plus concrète possible.
Vous avez besoin d'aide pour rédiger votre déclaration de confidentialité ? Contactez ici notre équipe d'experts. Nous nous ferons un plaisir de vous aider !
Français 
Deutsch 
English 
Español 
Polski