L'EDPB (qui regroupe toutes les autorités indépendantes de protection des données) et le Contrôleur européen de la protection des données (CEPD) ont publié un avis conjoint exprimant de sérieuses inquiétudes sur des éléments clés des changements proposés dans le GDPR et ePrivacy, dans le cadre de l'initiative dite "de la protection de la vie privée" "Digital Omnibus"proposé par la Commission européenne. Plus précisément, les autorités s'opposent fermement à la proposition de de la définition des la définition des données à caractère personnel. L'avis remet également en question la nécessité de remet en question la nécessité de plusieurs propositions clés, telles que la base juridique de la formation à l'IA et les restrictions du droit d'accès. De nombreuses autres dispositions ne sont pas jugées suffisamment claires. Les autorités' feedback des autorités est un autre coup dur pour la tentative de la Commission de limiter les droits des utilisateursà limiter les droits des utilisateurs.
Une contribution très importante sur le Digital Omnibus. Avec le Digital Omnibus, la Commission européenne a proposé des changements radicaux au GDPR et à la directive ePrivacy déguisés en mesure de "simplification". Cela pourrait signifier, entre autres, une restriction de la définition des données personnelles (article 4(1) GDPR) et du droit d'accès (article 12(5) GDPR), et un laissez-passer pour traiter les données des utilisateurs pour la formation à l'IA. Ces changements n'aident pas les entreprises normales de l'UE à s'acquitter de leurs tâches administratives plutôt inutiles, mais ils sont surtout utiles aux grandes entreprises technologiques américaines. Les organisations de la société civile ont déjà tiré la sonnette d'alarme, mais le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD), très influents et indépendants, ont maintenant soumis la proposition à un nouvel examen : dans un avis conjoint, les autorités expriment de sérieuses inquiétudes quant à certaines des propositions les plus importantes.
Max Schrems : Les autorités indépendantes ont identifié les changements clés pour ce qu'ils sont : ni "changements techniques" ni "simplification", mais des limitations du droit à la protection des données pour les résidents de l'UE."
Modification de la définition des données à caractère personnel : rejetée. Plus particulièrement, l'EDPB et le CEPD confirment les préoccupations des parties prenantes concernant la proposition de restreindre la définition des données à caractère personnel en vertu de l'article 4, paragraphe 1, du GDPR. Selon l'avis, cela "irait bien au-delà d'une modification ciblée du GDPR, d'un "amendement technique" ou d'une simple codification de la jurisprudence de la CJUE"
De même, les autorités rejettent la proposition de la Commission d'étendre ses propres pouvoirs, ce qui lui permettrait de décider ce qui constitue des données personnelles pseudonymisées. Combinée à la nouvelle définition des données à caractère personnel, cette proposition pourrait permettre aux entreprises d'échapper à l'application du GDPR.
La formation à l'IA fondée sur un intérêt légitime ? Bien que l'avis nes'oppose pas strictement à la proposition de la Commission concernant la formation à l'IA basée sur un intérêt légitime, l'EDPB et le CEPD soulignent qu'en réalité, l'article 88c nouvellement introduit ne clarifie pas la question. Les entreprises devront toujours effectuer un test en trois étapes pour évaluer si l'utilisation d'un intérêt légitime comme base juridique est légale. De nombreuses autres questions clés concernant l'utilisation des données à caractère personnel dans la formation à l'IA ne seraient pas résolues par la proposition.
Restriction du droit d'accès. Dans sa forme actuelle, laproposition de la Commissionrelative à l'article 12, paragraphe 5, du GDPR limiterait la possibilité pour les personnes concernées d'utiliser leur droit d'accès pour accéder à leurs propres données, en imposant que ce droit soit utilisé à des "fins de protection des données". Cela exclurait probablement les finalités journalistiques, de recherche, politiques, économiques, juridiques ou autres de l'accès à ses propres données personnelles. Les autorités précisent qu'un tel rejet violerait la jurisprudence existante de la CJUE, même s'il est possible de clarifier les restrictions existantes en cas d '"abus" des droits d'accès.
Confirmation des critiques antérieures. Sur de nombreux autres articles, l'EDPB et le CEPD estiment que les objectifs de la Commission sont compréhensibles, mais que la manière dont les propositions sont rédigées n'atteint pas le niveau de clarté et de profondeur qui leur permettrait d'être utiles dans la pratique.
Les principales conclusions de l'évaluation des autorités concordent avec celles de l'analyse détaillée de la proposition de la Commission européenne réalisée par le noyb. D'autre part, certains des changements proposés semblent être considérés comme acceptables par les autorités, malgré le fait qu'au lieu de rationaliser l'application et de réduire la charge réglementaire pour les PME européennes, de nombreux changements augmenteraient en fait la complexité. Cela ne profiterait qu'aux grandes entreprises technologiques américaines et aux cabinets d'avocats spécialisés dans la recherche de failles à exploiter par leurs clients.
Suivant : Position du Conseil et du PE : Il est à espérer que le Parlement européen et le Conseil tiendront compte de l'avis conjoint de l'EDPB et du CEPD, mais qu'ils iront plus loin en supprimant certains changements qui ne peuvent être corrigés de manière significative et en améliorant profondément d' autres éléments.
