Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 15 janvier 2024

Données

Inapplicabilité du RGPD à une commission d’enquête parlementaire pour ses activités visant à préserver la sécurité nationale

• En Autriche, une commission d’enquête était chargée de déterminer l’existence d’une éventuelle influence politique sur l’Office fédéral pour la protection de la Constitution et pour la lutte contre le terrorisme. Dans le cade de cette enquête, des auditions ont été réalisées et retranscrites dans les médias. L’un des témoins, auditionné lors de cette enquête, a introduit une réclamation auprès de l’autorité autrichienne de protection des données, estimant que la mention de son identité dans le compte-rendu transmis aux médias était contraire aux dispositions du RGPD.
  L’autorité de protection des données a rejeté sa demande aux motifs que le principe de séparation des pouvoirs s’opposait à ce que cette autorité, en tant que branche du pouvoir exécutif, contrôle le respect du RGPD par la commission d’enquête qui relève, elle, du pouvoir législatif. Le témoin a alors saisi les juridictions nationales autrichiennes qui ont renvoyé la question devant la Cour de justice de l’Union européenne.
  La Cour a jugé qu’une activité ne saurait être considérée comme située hors du champ d’application du RGPD pour la seule raison qu’elle est exercée par une commission d’enquête parlementaire. Elle rappelle que la sécurité nationale peut néanmoins justifier une limitation des obligations et droits découlant du RGPD. Cependant, en l’espèce, il ne ressortait pas du dossier que la divulgation du nom du témoin était nécessaire pour sauvegarder la sécurité nationale.
  La Cour énonce par ailleurs que lorsqu’un État membre a choisi d’instaurer une seule autorité de contrôle pour l’application du RGPD, ce qui est le cas en Autriche, celle-ci est également compétente pour contrôler le respect du RGPD par une commission d’enquête parlementaire, et ce, malgré le principe de séparation des pouvoirs.
  (CJUE, 16 janv. 2024, C-33/22, Österreichische Datenschutzbehörde)

L’UE maintient le statut d’adéquation de 11 pays et territoires ses décisions d’adéquation : les données pourront continuer à circuler librement vers ces juridictions

• Le 15 janvier 2024, la Commission européenne a achevé son réexamen de 11 décisions d’adéquation existantes, adoptées en vertu de la législation de l’UE en matière de protection des données à caractère personnel.
  Dans son rapport, la Commission constate que les données à caractère personnel transférées de l’Union européenne vers Andorre, l’Argentine, le Canada, les Îles Féroé, Guernesey, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay continuent de bénéficier de garanties adéquates en matière de protection des données. Il en résulte que les décisions d’adéquation adoptées pour ces 11 pays et territoires restent en place et que les données peuvent continuer à circuler librement vers ces juridictions.
  Le rapport comprend un résumé des résultats pour chaque pays concerné, en mettant l’accent sur les développements favorables. Dans trois cas (Argentine, Israël et Canada), le rapport comprend des recommandations visant à « inscrire dans la législation les protections qui ont été élaborées au niveau sous-législatif et par la jurisprudence ». Cela est particulièrement important compte tenu des réformes législatives en cours dans la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada, de la loi israélienne sur la protection de la vie privée et de la récente présentation du projet de loi sur la protection des données au Congrès argentin.
  La Commission déclare en outre...