RGPD vs ePrivacy : quel est le grand gagnant?

Entre le RGPD et la Directive ePrivacy, la conformité est parfois un vrai casse-tête. Le Comité européen de la protection des données (CEPD) est venu apporter des précisions importantes sur la compatibilité entre ces deux textes.

Le Comité européen de la Protection des Données (CEPD) a publié le 12 mars 2019 un avis 5/2019 sur la position à adopter dans les situations où le Règlement 2016/679 du 27 avril 2016 (RGPD) et de la Directive 2002/58/CE (ePrivacy) viennent à s’appliquer de manière simultanée.

Le 13 mars 2019, le CEPD a appelé le législateur européen à multiplier les efforts en vue de l’adoption définitive du Règlement ePrivacy.

1. Cookies et base légale

Le CEPD rappelle que l’utilisation de cookies relève de l’application du RGPD comme de la Directive ePrivacy.

Toutefois sur certains aspects, la Directive ePrivacy doit prévaloir sur le RGPD, et en particulier concernant le consentement à l’utilisation de cookies. Le responsable de traitement est en effet tenu de collecter ce consentement au titre de l’article 5.3 de la Directive ePrivacy pour tous les cookies qui ne sont pas strictement nécessaires à la fourniture du service.

Le responsable de traitement ne peut donc se fonder sur une autre base légale de l’article 6 du RGPD pour justifier le dépôt ou la lecture de cookies sur un terminal. Le texte plus restrictif de la Directive ePrivacy doit en effet prévaloir sur les dispositions plus générales du RGPD.

Le responsable devra en outre déterminer la base légale la plus appropriée au regard de l’article 6 du RGPD pour justifier le traitement ultérieur des données obtenues via l’utilisation de cookies (et notamment le profilage à des fins de marketing ciblé)

2. Notification d’une violation de données à caractère personnel

Le RGPD et la Directive ePrivacy prévoient chacun des obligations de notification d’une violation de données.

Le CEPD note qu’imposer à un responsable de traitement d’effectuer une double notification d’une violation de données pourrait constituer une charge additionnelle sans bénéfice manifeste et immédiat pour la protection des données.

En conséquence, lorsqu’un fournisseur de service de communications électroniques a effectué une notification d’une violation de données conformément à ses obligations au titre de la législation nationale transposant la Directive ePrivacy, ce dernier n’est pas tenu d’effectuer une notification distincte de cet incident au titre de l’article 33 du RGPD.

3. Et le Règlement ePrivacy?

Une version du texte a été publiée le 22 février 2019 et est toujours en cours de discussion. Le Règlement ePrivacy figure au nombre des sujets prioritaires de la Présidence roumaine du Conseil de l’Union européenne qui durera jusqu’en juillet 2019.

This document (and any information accessed through links in this document) is provided for information purposes only and does not constitute legal advice. Professional legal advice should be obtained before taking or refraining from any action as a result of the contents of this document.